東芝・無印良品のWebサイトにpolyfill[.]ioの不審なログイン画面が出現——2年越しのサプライチェーン攻撃の残影が日本企業を直撃

東芝と無印良品（MUJI）の公式Webサイトに、外部JavaScriptサービス「polyfill[.]io」が生成する不審なログイン画面が表示される問題が2026年6月初旬に発覚した。両社は利用者に対してパスワード変更を呼びかけるとともに、問題のサービスとの接続を停止している。

何が起きていたのか

ユーザーが東芝や無印良品のWebサイトを訪問すると、突然ユーザー名とパスワードを求めるログイン画面がポップアップ表示される現象が発生した。東芝は公式サイトで「表示されても情報を入力せずにキャンセルを選択してください」と注意を促し、無印良品も「現時点で不正アクセスや情報漏洩は確認されていないが、お客様の安全のために対応をお願いします」と呼びかけた。

国内での被害はこの2社にとどまらない。象印、FiNC Technologies、医歯薬出版、ほぼ日（Hobonichi）なども同様の影響を受けたと日本のメディアが報じている。海外ではSamsungのスマートTV向けサイトでも6月1日に同様の事象が確認された。

polyfill[.]ioとはなにか——そしてなぜ危険なのか

Polyfillとは、モダンなWeb技術を古いブラウザ向けに補完するJavaScriptライブラリだ。polyfill[.]ioはその配信CDNとして多くのWebサイトから参照されていたが、オープンソースプロジェクトの作者（Andrew Betts氏）が管理するドメインではなかった。

2024年、このドメインが中国系の組織に買収され、CDN経由で10万以上のWebサイトに悪意あるスクリプトが混入するサプライチェーン攻撃が発生した。Betts氏はすぐに警告を発し、公式サービスを新ドメイン（polyfill.top）に移行。その後polyfill[.]ioへのアクセスは一時停止されたが、旧ドメインを参照したままのWebサイトが多数残り続けた。

なぜ2026年になって再発したのか

セキュリティ研究者のPasquale Pillitteri氏の調査によると、2026年5月下旬ごろからpolyfill[.]ioドメインが再びアクティブになり、今度はHTTP 401（認証要求）レスポンスを返し始めた。

HTTPの仕様上、401レスポンスはブラウザに「このリソースへのアクセスには認証が必要」と伝える。ブラウザはこれを受け取ると自動的にユーザー名とパスワードの入力を求めるポップアップを表示する。つまり、東芝や無印良品のWebページに2年以上にわたって残り続けていたpolyfill[.]ioへの参照が、ユーザーに偽のログインプロンプトを表示させていたのだ。

現時点では入力された認証情報が実際に盗まれたという証拠は確認されていない。ただし今後この仕組みがクレデンシャル窃取に本格悪用される可能性は否定できず、引き続き注意が必要な状況だ。

実務への影響——IT担当者が今すぐ確認すべきこと

この問題が示す本質的なリスクは、自社管理外の外部スクリプトへの依存だ。以下のアクションをすぐに実行してほしい。

外部CDN・外部スクリプトの棚卸しを行う 自社のWebサイトやアプリケーションがどの外部CDNやJSライブラリを参照しているか、今すぐ把握する。polyfill[.]ioへの参照が残っていないかの確認は特に急ぎで行うべきだ。

Content Security Policy（CSP）を実装する CSPヘッダーを設定することで、許可していない外部ドメインからのスクリプト読み込みをブロックできる。外部リソースのホワイトリスト管理は即効性のある対策だ。

Subresource Integrity（SRI）を活用する 外部スクリプトを参照する際はSRIハッシュを付与し、改ざん検知の仕組みを入れる。予期せぬ変更があればブラウザが即座にブロックしてくれる。

依存関係の定期監査を習慣化する CDN経由の依存ライブラリは「一度組み込んだら放置」になりがちだ。SBOMの作成と定期的な見直しをプロセスとして組み込むことを推奨する。

筆者の見解

今回の問題を見て率直に思うのは、「2024年の段階で広く警告が出ていたのに、なぜ大企業でも2年後まで古いコードが残っていたのか」という点だ。

これをエンジニア個人の問題として片づけることはできない。外部依存を継続的に把握し、リスクが発覚したときに確実に対処するための組織的なプロセスが存在しているかどうか、の問題だ。「現在動作しているから触らない」という判断は短期的には合理的に見えるが、今回のように何年も経ってから想定外の形で悪用されるリスクを積み上げていく。

サプライチェーンセキュリティは「自分たちのコードさえきれいなら大丈夫」という時代をとっくに過ぎている。外部ライブラリ、外部CDN、SaaS APIとの接続——これらすべての依存関係に管理の目が届いているか、今回の件を機に点検してほしい。ゼロトラストの考え方は認証・認可だけでなく、サードパーティコードの扱いにも適用すべき時代だ。

出典: この記事は Suspicious Polyfill login prompts pop up on Toshiba, Muji websites の内容をもとに、筆者の見解を加えて独自に執筆したものです。