名古屋短期大学は2026年3月12日、同学のWebサイトが改ざんされ、不適切なページが表示されていた事案について公表しました。発覚したのは2026年2月25日16時20分頃で、トップページ内に設置されていた保育科通信教育課程のリンク先ページが、海外サイトへ誘導する内容に書き換えられていたとしています。
何が起きたのか
確認されたのは、名古屋短期大学のトップページから遷移する一部ページの改ざんです。具体的には、保育科通信教育課程のリンク先Webページが、本来の内容ではなく海外サイトへ誘導するページに改ざんされていました。
影響範囲として公表されているのは、ohkagakuen-u.ac.jp、nagoyacollege.ac.jp、ohka.ac.jp の各Webサイトです。一方で、大学側は今回の改ざん被害による他システムへの影響は確認されていないと説明しています。
また、改ざんの影響が及んだ可能性がある期間は、2026年2月25日7時00分頃から2026年3月5日13時00分頃までとされています。利用者端末におけるウイルス感染などの被害についても、現時点では確認されていません。
原因はCMSの脆弱性を悪用した不正アクセスの可能性
大学側の調査では、Webサイト更新に利用していたCMSの脆弱性を悪用した不正アクセスによる可能性が高いとしています。現時点で断定表現は避けられているものの、公開系サーバにおけるCMSの脆弱性管理が今回の焦点になっていることは明らかです。
CMSは更新作業を効率化できる一方で、ミドルウェア本体、プラグイン、テーマ、管理画面、認証設定など複数の攻撃面を抱えやすい仕組みです。特に、大学や自治体、企業の広報サイトでは運用の継続性が優先され、アップデートの遅れや構成の属人化が起きやすく、そこが攻撃者に狙われることがあります。
今回の公表内容から読み取れるのは、個人情報の漏えいではなく、公開コンテンツの完全性が侵害された事案だという点です。学生や教職員などの個人情報は当該サーバには保存されておらず、流出の事実も確認されていないとしています。
現在の対応状況
対象となるWebサーバは停止済みです。大学側は、サーバ内の脆弱性対応を進めるとともに、改ざんされたファイルをすべて削除し、安全性を確認したうえで公開を再開するとしています。
一般的な対策
CMSを利用している組織では、次の観点を優先的に見直す必要があります。まず、CMS本体とプラグインの更新管理です。次に、不要な機能や未使用アカウントの整理、管理画面へのアクセス制限、多要素認証の導入です。さらに、改ざん検知、外部送信の監視、ログ保全、Webサーバの定期的な整合性確認も欠かせません。
関連記事
FortiWebに深刻なSQLインジェクションの脆弱性、GUI経由での攻撃に注意(CVE-2025-25257)
WordPressのカレンダー プラグイン「Modern Events Calendar」で高リスクの脆弱性(CVE-2024-5441 )
Sensata Technologies(センサータ テクノロジーズ)、ランサムウェア 攻撃 被害を公表 一部業務に支障、情報漏洩の可能性も
トラベルビジョン、不正アクセスとWebサイト改ざん 被害を公表
フィーチャ、ランサムウェア 被害を公表 サーバー内ファイルの一部が暗号化
歯科衛生士向け情報サイト「Dキャリアプラス」が不正アクセスとマルウェア感染によりサイト公開が一時停止に
ダイヤモンドエレクトリックホールディングスの海外子会社へランサムウェアによるサイバー攻撃
自動車サスペンション 製造 販売のテイン、ランサムウェアの被害でシステム障害
学校法人 横須賀学院がランサムウェアの被害を公表-写真・動画など複数ファイルが流出の可能性
