Multiple Japanese Companies Hit by Suspicious Login Pages via Polyfill.io

無印良品や象印マホービン、ボートレースなど複数の企業・団体が、5月末から6月初めにかけて、自社サイトの一部ページで不審な認証（ログイン）画面が表示されたと相次いで公表した。各社は発表時点で不正アクセスや情報漏えいは確認していないとしつつ、当該画面にID・パスワードを入力した利用者へパスワードの変更を呼びかけている。

告知を出したのは、無印良品を展開する良品計画、東芝、リクルートマネジメントソリューションズ、象印マホービンのほか、医歯薬出版、健康関連サービスのFiNC Technologies、ほぼ日などだ。

発生した事象は、サイトの一部ページを開いた際、ユーザー名とパスワードの入力を求める認証画面が出るというもの。象印マホービンは6月3日付の告知で、URL表示が「polyfill.io」となったログイン画面の例を示し、同じ画面が出た場合は何も入力せず「キャンセル」を選ぶよう求めている。

多くの企業は、polyfill.ioへの参照を削除対応中あるいは削除済みとしており、いずれも不正アクセスや情報漏えいは確認していないと報告している。各社は、画面にIDやパスワードを入力した場合、使い回している他サービスも含めてパスワードを変更するよう案内している。

公表したほとんどの企業が、不審なログイン画面はpolyfill.ioを経由して表示されたと説明しており、中でもFiNC Technologiesは「外部ライブラリ（polyfill.io）の改ざんに起因する」としている。

polyfill.ioはもともと、古いブラウザであっても新機能をサポートできるようにする人気の外部ライブラリだったが、2024年に中国企業に買収されるとサプライチェーン攻撃の舞台となった。配信プログラムが書き換えられ、訪問者を不正なサイトへ誘導するコードが混入。オランダのセキュリティ企業Sansecは、影響は10万件以上のサイトに及ぶと警告していた。

問題の発覚後、ドメイン登録事業者の米Namecheapがドメインを停止し、米Cloudflareがpolyfill.ioへのリンクをミラーに書き換える機能を提供するなどしたことで、事態は収束していった。元開発者のアンドリュー・ベッツ氏も、最新のブラウザではポリフィルはもう不要だとして利用をやめるよう呼びかけていた。

なお、Namecheapにより停止となっていたpolyfill.ioだが、ドメインを照会したところ、2026年5月21日に更新されており、現在有効になっているようだ。レジストラは米GoDaddy、登録者は公開されていない。