「polyfill.io問題」再燃に学ぶサプライチェーンセキュリティ

^{※本記事のサムネイル画像は、生成AIで作成しました。}

「外部参照」が突きつけるリスクと対策

2026年5月下旬以降、国内の複数の企業・団体のWebサイトで、閲覧中に身に覚えのない認証画面（ユーザ名とパスワードの入力を求めるダイアログ）が突然表示される事象が相次いでいます。

画面：polyfill.ioを参照しているWebサイトにアクセスした際に表示される認証画面の例
（左：Microsoft Edgeでの画面、右：Google Chromeでの画面）

原因は、かつて広く使われていたJavaScriptライブラリ「polyfill.io」です。2024年に大規模なサプライチェーン攻撃の舞台となったこのドメインが、約2年の休眠を経て再び動き出したことで、Webサイトに残されたままの「参照」が新たなリスクとして顕在化しました。
本稿では、セキュリティ部門の責任者の皆様に向けて、本インシデントの概要と仕組み、そして組織として取るべき対策を整理します。技術的背景に加え、経営層や非技術部門へ説明する際の論点としても活用ください。

polyfill.ioとは何か

JavaScriptライブラリとは

JavaScriptライブラリとは、Webサイトに動的な表示や演出、データ連携など（インタラクティブなフォーム、アニメーション、非同期通信など）を加えるために、あらかじめ用意されたプログラムの部品集です。多くのWebサイトは、自組織で一から開発する手間を省き、Webサイト開発を効率化するために、外部のライブラリを参照して読み込んでいます。

polyfill.ioとは？

polyfill.ioとは、JavaScriptライブラリであるpolyfillを配信していたWebサイト（ドメイン）です。polyfillとは、最新のWeb機能に対応していない古いブラウザでも、Webサイトが正しく表示・動作するように、不足している機能を補う仕組みを指します。2014年にFinancial Timesのエンジニアが公開し、世界で10万以上のサイトに採用されるほど普及しました。

ただし、現在のWebブラウザはJavaScriptの新機能の多くに標準対応しており、実情から言えばpolyfillはもはや不要なJavaScriptライブラリとも言えます。オリジナルの開発者自身も、利用をやめるよう呼びかけました。「広く普及したが、すでに役割を終えた外部依存」——これが本インシデントの前提となる構図です。

なぜ不審な認証画面が表示されるのか

今回の事象は、polyfill.ioの所有権の変遷と悪用、そしてWebサイト側に参照が残存していたことの組み合わせによって発生しています。

所有権の変更と悪用、そして「再活性化」

2024年2月、polyfill.ioのドメインとGitHubアカウントが、中国系の事業者「Funnull」に買収されました^※。オリジナルの開発者はこの直後に即時削除を警告^※。同年6月にはセキュリティ各社が、polyfill.ioが悪意あるコードを配信し、スマートフォン利用者を詐欺サイトへ誘導していることを公表し、10万超のサイトを巻き込む大規模なサプライチェーン攻撃となりました（NISTの注意喚起）。これを受け、2024年6月27日にレジストラのNamecheapがドメインを停止し、polyfill.ioは休眠状態に入ります。
^{※Funnullは、仮想通貨投資詐欺に関与したとして、アメリカ財務省から制裁を受けている（2025年5月）。}

しかし、約2年の休眠を経た2026年5月下旬、polyfill.ioドメインは再び活性化しました。WHOIS情報では5月21〜22日にレジストラがNamecheapからGoDaddyへ移管されており、登録者情報は非公開です。現在のドメイン所有者が2024年と同一の主体かは判明していません。一度停止された脅威が「廃止」ではなく「休眠」にすぎず、時間を置いて再起動しうることを示す典型例といえます。

認証画面が表示される仕組み

多くのWebサイトは、過去にpolyfill.ioを利用するため、HTML内に<script src="https://polyfill.io/…"></script>といった参照を記述していました。再活性化後、その流れは次のようなものです。

1.利用者が、polyfill.ioへの参照が残ったままのWebサイトにアクセスする
2.WebブラウザがHTML内の参照を読み取り、自動的にpolyfill.ioのサーバへアクセスする
3.再活性化されたpolyfill.ioがHTTP 401（Basic認証要求）を返す
4.ブラウザはこの応答を受け、利用者にユーザ名とパスワードの入力ダイアログを表示する
5.入力された認証情報は、現在のドメイン所有者へ送信される可能性がある

重要なのは、Webサイト自体は改ざんされていないという点です。該当Webサイトは外部サービスに依存していただけであり、その外部サービスの所有者が変わり挙動が変化したことで、訪問者が危険に晒されています。これは「外部参照のリスク」を端的に示しています。Webブラウザが表示する認証ダイアログは、訪問先サイトの正規ログイン画面と見分けがつきにくく、利用者が正当なものと誤認しやすいのも特徴です。

「polyfill.io問題」の影響の広がり

本インシデントは、業種を問わず、国内の広範囲の組織に及んでいます。2026年6月19日時点で確認できる公開情報だけでも、30以上の国内企業・団体が「不審な認証画面の表示」について注意喚起を公表しています。
公表している組織は、製造業、金融業、小売・食品・EC、メディア・出版など、業界横断的に影響が確認されています。

さらに、TV放送のHbbTV経由でpolyfill.ioを読み込んでいたSamsung製スマートテレビ（Hybrid Broadcast Broadband TV）でも同種の認証画面が表示される事象が欧州の一部地域で報告されており、影響がWebサイトにとどまらないことを示しています。自組織が長く手を加えていないWebページやテンプレートにも参照が残存しうる——これが、これら多様な組織に共通する教訓です。

組織として取るべき対策

セキュリティ部門の責任者としては、まず「Webサイト運営者」としての対策を徹底することが重要です。あわせて、従業員・利用者への注意喚起も行います。

サイト運営者としての対策

不審な外部参照の速やかな排除：

自社が運用するWebサイトのソースコードに対し、「polyfill」の文字列で検索（grep^※等）をかけます。Node.jsやパッケージマネージャーを利用している場合は、ビルドファイルやpackage.jsonなどの依存関係ファイルも対象とすることをお勧めします。参照が見つかれば、該当箇所を速やかに削除しましょう。
^{※grep：テキストファイルやコマンドの出力結果から、特定の文字列やパターンに一致する行を抽出するLinuxコマンド。}

外部参照スクリプトの棚卸しと継続的監視：

CDN、タグ管理、アクセス解析、広告、Webフォントなど、自社Webサイトが依存する外部スクリプトをすべて棚卸しし、リスト化します。そのうえで、各外部ドメインに所有権の変更・改ざん・廃止といった異常がないかを継続的に監視する体制を整えます。自社Webサイトを一切変更していなくても、外部配信元の所有者が変われば中身がすり替わりうるという前提を持つことが肝要です。

CSP（Content Security Policy）による制限：

CSPを導入し、スクリプトやリソースの読み込み元、通信先、フォーム送信先を厳密に制限します。これにより、未許可ドメインからのスクリプト読み込みや、外部への情報送信を抑制できます。ただし、許可済みドメインが悪性化した場合はCSPのみでは防げないため、その他の外部参照スクリプトの棚卸しなどを始めとした取り組みと組み合わせた対策が必要となります。

ネットワークレベルでのブロック：

プロキシ、ファイアウォール、セキュリティ製品（Trend Micro Web Reputation Service（WRS）などでpolyfill.ioドメインを拒否リストに明示的に追加し、社内ネットワークからのアクセスを遮断します。

脅威情報のキャッチアップと構成のハードニング：

担当者が最新の脅威情報を継続的に把握できる体制を構築するとともに、本インシデントを機にWebサイトの構成ファイルとJavaScriptを棚卸しし、堅牢化（ハードニング）を進めます。

従業員・利用者への注意喚起

入力しない：

閲覧中に身に覚えのない認証画面が出たら、何も入力せず「キャンセル」する。

ドメインを確認する：

画面やURLにpolyfill.ioなど見覚えのないドメインが表示されていないか確かめる。

誤入力時の対応：

誤って入力した場合は、直ちに当該サイトおよび同じ認証情報を使う他サービスのパスワードを変更する。

まとめ

今回のpolyfill.ioインシデントは、外部サービスへの依存が常態化した現代において、サプライチェーンセキュリティの重要性を改めて突きつけました。とりわけ、一度停止された脅威が時間を経て再活性化しうること、そして残存する「外部参照」の管理がいかに重要かを物語っています。

組織のセキュリティ上、この機会に自社のWebサイトの外部依存関係を徹底的に見直し、本稿の対策を講じることを強く推奨します。「自組織は何も変えていない」ことが、もはや安全を意味しない——その認識こそが、次のサプライチェーン攻撃から組織と利用者を守る出発点となります。

監修

佐藤健

トレンドマイクロ株式会社
セキュリティエバンジェリスト、シニア・スレット・リサーチャー

ソフトウェア開発を経て、2007年にトレンドマイクロに入社。不正プログラムの収集や解析、インシデントレスポンスや脅威リサーチによる顧客サポートを担当。現在はセキュリティエバンジェリストとして、サイバー空間の脅威について講義や講演を通じた啓発活動に取り組んでいる。

愛知県警察サイバー事案対策アドバイザー、近畿管区警察局サイバーセキュリティテクニカルアドバイザー
情報処理安全確保支援士、CISSP

佐藤健

トレンドマイクロ株式会社
セキュリティエバンジェリスト、シニア・スレット・リサーチャー

嶋村誠

トレンドマイクロ株式会社
シニア・スレット・リサーチャー

2017年11月トレンドマイクロ入社以来、シニア・スレット・リサーチャーとしてサイバー犯罪に関する脅威情報のリサーチ、各種マルウェアの解析・動向監視やインシデント対応支援に従事。
近年は日本サイバー犯罪対策センター（JC3）と協力し、偽ショッピングサイトに関するリサーチを中心に、サイバー犯罪被害の軽減・撲滅を目指して活動している。博士（工学）、情報処理安全確保支援士、香川大学協力研究員。