2024 年 6 月に世界を騒がせた「polyfill.io サプライチェーン攻撃」が、2 年経った 2026 年 6 月、日本企業の足元で再び火を吹いた。象印マホービン、無印良品、東芝、リクルートの採用管理 ATS、医学書院、FiNC Technologies など業種を横断する複数のサイトが、不正なログイン画面の表示を相次いで公表。キャリアデザインセンターでは最大 1 万 8253 人分の個人情報が漏えいした疑いがあると報じられている。共通の起点は、すべて polyfill.io への参照を残したままだったことだ。
なぜ「2 年前の脆弱性」がまだ通用したのか #
polyfill.io は古いブラウザに不足機能を補う JS ライブラリの定番 CDN として広く使われていたが、2024 年 2 月に中国系の新オーナーへ譲渡され、その後配布スクリプトに不正コードが仕込まれた。Cloudflare や Google が警告を出し、ドメインも一度停止された ── ここまでは既報。問題は、2026 年現在も日本の有名企業が「2 年前から要削除と告知されていた CDN タグ」をテンプレートに残し続けていたという事実だ。Namecheap でドメインが 5 月 21 日に更新され再保有された結果、休眠していた <script src="https://polyfill.io/..."> が再度悪意あるレスポンスを返すようになり、各社サイトに偽ログイン画面が浮上した。
| 企業 / サイト | 影響 | 危険度 |
|---|---|---|
| キャリアデザインセンター | 最大 1.8 万人の個人情報 | 高 |
| 無印良品 / 象印マホービン | 偽ログイン画面、PW 変更勧告 | 中 |
| 東芝 / 医学書院 / FiNC | polyfill.io 参照あり、削除対応中 | 中 |
棚卸しできない「自社サイトに残るタグ」という負債 #
CDN タグは、フロント実装時に「とりあえず貼った 1 行」が運用フェーズで誰の所有物でもなくなりがちだ。SBOM はサーバ側ライブラリには浸透しても、ブラウザに配信される外部スクリプトまでは管理が及んでいない組織が多い。今回の各社対応も「削除済み or 削除予定」というポストモーテムからは、警告を 2 年前に受け取りながら検知の自動化が出来ていなかったことが透ける。
対策は新しくない。<script integrity="sha384-..."> の SRI を義務付け、CSP の script-src で許可ドメインを明示し、外部 JS は npm でセルフホストへ移すか Cloudflare の自動ブロッカーを噛ませる。何より、SOC とフロント運用の間に「自社ページに今ロードされている外部ドメイン一覧」を毎週流す仕組みが要る。サプライチェーン攻撃は二度死ぬ ── 一度目は侵入で、二度目は「忘れたころ」に。今回の polyfill.io 再燃はその教訓そのものだ。
COMMENTS 0
No comments yet — be the first to leave one.