2026年5月末から6月初旬にかけて、無印良品(良品計画)や東芝、象印マホービンなど、国内の名だたる企業の公式サイトで「身に覚えのないログイン画面が突然表示される」という事象が相次いで報告されました。
原因として指摘されているのが、かつて世界中のWebサイトで使われていた外部JavaScriptライブラリ 「polyfill.io」 です。
「2024年に騒ぎになった、あの件では?」と思われた方もいるかもしれません。その通りです。ただし今回は、当時の問題を"放置"していたサイトが、約2年の時を経て改めて被害に遭った という点に、見過ごせない教訓があります。
いま、何が起きているのか
時系列を整理すると、状況はこうです。
- 2024年6月 — polyfill.ioが配信していたスクリプトに悪意あるコードが混入し、訪問者を不正サイトへ誘導するサプライチェーン攻撃が発覚。影響は10万件以上のサイトに及ぶと警告されました。
- 2024年6月末 — ドメイン登録事業者がドメインを停止(DNS無効化)し、いったん事態は収束。「polyfill.ioへの参照はコードから削除すべき」と各所が呼びかけました。
- 2026年5月 — 停止されていたはずのドメインが別のレジストラへ移管され、再び有効化。これにより、当時から参照を消さずに残していたサイトが、再度外部スクリプトを読み込む状態に戻ってしまいました。
- 2026年5月末〜6月 — 該当サイトを開くと、ブラウザ標準の認証ダイアログ(IDとパスワードの入力を求める画面) が表示される事象が続発。これはサイト側が作った画面ではなく、読み込んだ外部スクリプトが返したもので、入力した認証情報を盗み取る「クレデンシャル・ハーベスティング」を狙ったものとみられています。
不審な認証画面が表示される
各社は「画面が表示されてもID・パスワードを入力しないように」と注意を呼びかけており、現時点でサイト本体への不正アクセスや情報漏えいは確認されていない、としています。
ポイントは、攻撃者が各社のサーバーに侵入したわけではないということ。サイトが読み込んでいた"外部スクリプト"が書き換えられただけで、正規のサイト上に偽の認証画面が出てしまう ——これがサプライチェーン攻撃の怖さです。URLもHTTPSの鍵マークも正しく見えるため、利用者は疑いにくく、企業側も気づきにくいのです。
そもそも「Polyfill」とは
Polyfill(ポリフィル)とは、古いブラウザでも新しいWeb機能を使えるように補完するためのコードのことです。polyfill.ioは、それを手軽に呼び出せるCDNサービスとして、かつて非常に多くのサイトに組み込まれていました。
問題は、このドメインが2024年に第三者へ売却され、配信されるスクリプトが悪意あるコードに書き換えられたことにあります。利用していたサイトは、知らないうちに「他人が中身を差し替えられる外部コード」を自社サイトで実行し続けていた、というわけです。
なお、現在のモダンブラウザではPolyfill自体がほとんど不要になっており、元の開発者も「使うのをやめるべき」と呼びかけています。本来とっくに削除されていてよいものが残り続けていた ことが、今回の再燃を招いた最大の要因と言えます。
"消したつもり"が一番危ない
今回の事案が突きつけているのは、シンプルですが見落とされがちな事実です。
外部スクリプトは、自社が管理していないコードを自社サイトで実行している状態にほかならない。
一度導入した外部スクリプトは、開発の引き継ぎやサイトリニューアルを経るうちに「誰がいつ何のために入れたか分からない」まま残りがちです。そして、その配信元ドメインが第三者の手に渡れば、自社サイトの表示は外部から書き換え可能になります。
「2024年に対応したから大丈夫」と思っていた企業が、まさにその"残骸"によって2026年に被害に遭った——。これは決して他人事ではありません。自社サイトが今どんな外部スクリプトを読み込み、どこと通信しているのかを、継続的に把握できているか。 それが問われています。
外部スクリプト、一度棚卸ししてみませんか
「自社サイトは大丈夫だろうか」「そもそも何が組み込まれているのか把握できていない」——そう感じられた方に、DGビジネステクノロジーでは外部スクリプト・外部ドメインのリスクを可視化するご支援を提供しています。
ソースコードを一行ずつ追わなくても、Webサイトが実際に読み込んでいる外部資産を洗い出し、リスクのある通信先を特定することが可能です。
具体的な支援内容
外部スクリプト・サードパーティードメインの調査 :Webサイトで利用されている外部スクリプトおよびサードパーティードメインを洗い出します。
- 悪性ドメイン・不審な通信先の確認: 既知の悪性ドメインや、不審な通信先が含まれていないかをチェックします。
- 潜在リスクの可視化:不要になった外部スクリプトや、見落とされている潜在的なリスクを一覧化し、優先順位をつけて把握できるようにします。
- ドメイン期限切れ等のリスク確認: 今回のように、ドメインの失効・移管によって第三者に乗っ取られるリスクがないかを確認します。
「polyfill.io」のように、正規だったものが後から悪用されるケースは、今後も形を変えて起こり得ます。一度きりの点検で終わらせず、外部依存を継続的に監視していくことが、これからのWebサイト防御の基本になります。
「自社サイトに polyfill.io が残っていないか確認したい」 「外部スクリプトのリスクを一度棚卸ししたい」 「継続的な監視の仕組みを検討したい」--少しでも気になった方は、ぜひDGBTまでお気軽にお問い合わせください。現状の確認から、リスクの可視化、運用体制のご相談まで、貴社の状況に合わせてご支援いたします。
