大学サイトが詐欺の入口に――「W杯無料視聴」誘導が示す新たな脅威

慶応大や成城大、和歌山大などの公式サイトが改ざんされ、「W杯 無料視聴」や「無料生配信」をうたうページへ利用者を転送する事案が相次いでいる。転送先では視聴登録を装い、メールアドレスやパスワードなどの入力を求める例も確認された。これは単なるフィッシングではない。利用者が普段から信頼する大学や公的機関のサイトを踏み台にし、Wカップへの関心を利用して誘導する、水飲み場攻撃型の詐欺である。正規サイトの信用を借りるため、検索結果から訪れた利用者ほど疑いにくく、被害は個人情報の詐取だけでなく、組織の信頼失墜にも及ぶ。

ココがポイント

慶応大や成城大のサイトから「W杯 無料視聴」ページへ勝手に転送　海保に続き…被害拡大

出典：産経新聞　2026/6/18(木)

海上保安庁と和歌山大のサイトが乗っ取り被害　「W杯放送　無料生配信」サイトに書き換え

出典：産経新聞　2026/6/12(金)

近年の水飲み場攻撃事例 Part1

出典：JPCERT/CC Eyes　2024/12/19(木)

エキスパートの補足・見解

今回の事案は、いわゆる水飲み場攻撃の一種とみるべきである。水飲み場攻撃とは、獲物が水場に集まる習性を利用して肉食動物が待ち伏せすることに由来する。サイバー空間では、標的が日常的に訪れる信頼性の高いWebサイトを改ざんし、閲覧者を攻撃に巻き込む。従来は、サイトを開いただけでマルウェア感染に至る例が注目されたが、今回はフィッシングへの誘導に使われた点が特徴だ。大学や公的機関のサイトは、学生や市民が安心して利用する「水飲み場」である。そこにワールドカップという関心の高い話題を組み合わせ、「無料視聴には登録が必要」として、メールアドレス、氏名、住所、生年月日、パスワードなどを入力させる。背景には、Web管理の弱点がある。CMS、とくにWordPressではIDとパスワードのみの認証で運用される例が多く、二要素認証は追加設定を要する。不正ログインによりスクリプトやリンクを埋め込まれれば、正規サイトは詐欺への入口に変わる。金融機関なら不正送金や投資詐欺にも直結する。管理者はMFA、更新管理、権限最小化、改ざん検知を必須とすべきである。