東芝・無印良品サイトに不審なPolyfillログインポップアップが出現

テック大手の東芝と大手小売チェーンの無印良品は、自社ウェブサイトに表示された不審なサインイン画面が認証情報を収集する可能性があるとして、利用者に注意を呼びかけています。

両社は、認証画面にアカウントのログイン情報を入力してしまった利用者に対し、サービスへのアクセスに使用するパスワードを変更するよう求めています。

このログインポップアップは、polyfill[.]ioでホストされている外部サービスによって生成されたものです。同サービスは2024年、CDN経由で配信するスクリプトに悪意のあるコードを混入させた実績があります。

「弊社ウェブサイトの一部において、以下に示すようなサインイン画面が表示される場合があることを確認しました。現在、この画面を削除するための作業を進めておりますが、表示された場合は何も入力せずに『キャンセル』を選択してください」と、東芝は短い告知の中で述べています。

日本の大手小売チェーン・無印良品も今週初めに同様の発表を行い、外部サービスpolyfill[.]ioによって生成された不審な認証画面について利用者に注意を促しました。

「現時点では、本サイトへの不正アクセスや情報漏洩は確認されておりませんが、お客様の安全を確保するため、ご対応をご検討いただけますようお願い申し上げます」と、無印良品は述べています。

東芝と無印良品はいずれも問題を解決し、該当サービスの利用を停止しています。

日本のメディアの報道によれば、象印マホービン、FiNC Technologies、医歯薬出版、オンライン出版ブランドのほぼ日も同様の問題の影響を受けたとのことです。

セキュリティ研究者のPasquale Pillitteri氏によれば、SamsungのスマートTVおよび同社ウェブサイトでも6月1日にログインポップアップが表示されたといいます。

一部の報告では、この問題は2024年のpolyfill[.]ioインシデントに起因すると指摘されています。当時、同ドメインは中国のエンティティに購入され、Polyfillサービスを利用する10万以上のウェブサイトに影響を与える悪意のあるスクリプトが追加されました。

Polyfillは旧式ブラウザ向けのJavaScript CDNで、サポートされていない技術に互換性レイヤーを提供することで、最新のサイトを旧式ブラウザでも動作させるためのものです。

Polyfillのコードはpolyfill[.io]のCDN経由で配信されていましたが、このドメインはオープンソースプロジェクトの作成者であるAndrew Betts氏が所有するものではありませんでした。そのため、ドメインの有効期限が切れた際、誰でも取得できる状態となっていました。

当時、Betts氏はウェブサイト運営者に対してサービスをサイトから削除するよう公に勧告し、新ドメインpolyfill.comでJavaScript CDNサービスを再開しました。その後、polyfill.topに移行しています。

polyfill[.]ioのサービス停止によってリダイレクトは止まりましたが、過去2年間にわたって同サービスを利用していた一部のサイトではすべてのページのクリーンアップが行われず、Polyfillコードの残骸が残存したままとなっていました。

Pillitteri氏の報告によれば、2026年5月下旬からpolyfill[.]ioドメインが再び活性化し、HTTP 401認証リクエストへの応答を開始したといいます。

東芝や無印良品のようなサイトを訪問したユーザーのブラウザは、これをユーザー名とパスワードの要求と解釈し、ログインプロンプトを表示します。

現時点では、影響を受けたウェブサイトがハッキングされたり、不正なログイン画面に入力された認証情報が盗まれたりしたという証拠はありません。ただし、予期しない認証プロンプトが表示された場合は十分ご注意いただくことを強くお勧めします。