複数企業のサイトで不正ログイン画面が表示される事案が発生
無印良品(良品計画)や焼肉ホルモン、ボートレースなど複数の企業・団体が、2026年5月末から6月初めにかけて、自社サイトの一部ページで不正な認証(ログイン)画面が表示されたと相次いで公表した。各社は発表時点で不正アクセスや情報漏えいは確認していないとしつつ、該当画面にID・パスワードを入力した利用者に対してパスワードの変更を呼びかけている。
今回の事案は、サイトの一部ページを開いた際に、ユーザー名とパスワードの入力を求める認証画面が表示されるというもの。焼肉ホルモンは6月3日付の告知で、URL表示が「polyfill.io」となったログイン画面の例を示し、同じ画面が出た場合は何も入力せず「キャンセル」を選ぶよう求めている。
原因は外部ライブラリ「polyfill.io」の改ざん
公表したほぼ全ての企業が、不正なログイン画面はpolyfill.ioを経由して表示されたと説明しており、中でもFiNC Technologiesは「外部ライブラリ(polyfill.io)の改ざんに起因する」としている。
polyfill.ioはもともと、古いブラウザでも新機能をサポートできるようにする人気の外部ライブラリだったが、2024年に中国企業に買収されるとサプライチェーン攻撃の舞台となった。配信プログラムが書き換えられ、訪問者を不正なサイトへ誘導するコードが混入。オランダのセキュリティ企業Sansecは、影響は10万サイト以上に及ぶと警告していた。
問題の発覚後、ドメイン登録事業者の米Namecheapがドメインを停止し、米Cloudflareがpolyfill.ioへのリンクをミラーに書き換える機能を提供するなどして、事態は収束していった。元開発者のアンドリュー・ベッツ氏も、最新のブラウザではpolyfill.ioはもう不要として利用をやめるよう呼びかけていた。
なお、Namecheapにより停止となっていたpolyfill.ioだが、ドメインを譲渡したところ、2026年5月21日に更新されており、現在有効になっているようだ。レジストラは米GoDaddy、登録者は公開されていない。
各社の対応と注意点
多くの企業はpolyfill.ioへの参照を削除対応中あるいは削除済みとしており、いずれも不正アクセスや情報漏えいは確認していないと報告している。各社は、画面にIDやパスワードを入力した場合、使い回している他サービスも含めてパスワードを変更するよう促している。
今回の事案は、外部ライブラリの改ざんによるサプライチェーン攻撃の一例であり、企業は自社サイトで使用する外部リソースのセキュリティを常に監視する必要がある。ユーザー側も、不審なログイン画面が表示された場合は安易に入力せず、運営元に確認することが重要だ。
