チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「いつもの通販サイトでログイン画面が突然出てきたんだけど、これって正規?」
「うちのサイトもpolyfill.ioを使っていた気がするけど、ユーザーに影響が出ていないか不安…」
チップスボス、無印良品とか東芝とか象印のサイトを開くと、いきなりログインダイアログが出るって話聞いたんでしゅけど、これって何が起きてるんでしゅか?
ボス2024年に侵害されたpolyfill.ioが新管理下で401を返し始めた結果、参照を残したサイトでBASIC認証ダイアログが出ているんだ。サプライチェーンの『置き土産』のような事案だな。
本記事ではpolyfill.io問題の経緯、なぜ日本企業サイトでログインダイアログが出るのか、そしてサイト運営者・利用者の両方が取るべき対応を整理します。
読み終えた時には、ダイアログを見た利用者の正しい対応と、サイト運営者が即時除去で取り戻せる安全性が見えてきます。
オススメ案件
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
【セキュリティ製品の運用・新規構築支援】新宿御苑(リモート併用)/WAF・IPS・IDS
【銀行向けセキュリティ対策・AWSクラウド運用支援】勝どき/FISC準拠・AWS(IAM/Backup)
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
まずは事件の背景と、現在何が起きているのかを整理します。
polyfill.ioは古いブラウザ向けの互換コードを配信するJavaScriptのCDNサービスで、世界中の多くのサイトで利用されてきました。
2024年2月に中国系の企業がドメインとGitHubアカウントを取得し、同年6月までに10万を超えるサイトで悪意あるリダイレクトを引き起こす侵害が発生した経緯があります。
その後、polyfill.ioは新たな管理下で運用が再開されたものの、現在は401応答を返す状態となり、参照を残しているサイトで意図しないBASIC認証ダイアログが表示される事象が確認されています。
2026年5月末から6月にかけて、日本企業の公式サイトで利用者がログインダイアログに遭遇したという報告が広がりました。
注意喚起を出した代表的なサイトは以下のとおりです。
チップス大手のサイトでも残っちゃってたんでしゅね…利用者からすると本物の認証画面に見えそうで怖いでしゅ。
ボスそうだな。ブラウザ標準のBASIC認証ダイアログだから、配色や鍵アイコンが正規っぽく見える。利用者は『普段ログインしないページで出たら無視』を徹底するのが先決だ。
続いて、ダイアログに遭遇した利用者と、サイトを運用する立場のそれぞれが取るべき対策を整理します。
BASIC認証ダイアログ自体は、技術的にはサーバから返された認証要求を表示しているだけです。
そのため『万が一資格情報を入力してしまうと、攻撃者管理下のサーバに直接送られる』リスクがあります。
利用者として押さえておきたいポイントは以下のとおりです。
サイト運営者にとっては、利用者を守るためにpolyfill.io参照を即時除去するのが最大の責務です。
具体的なアクションは以下のとおりです。
チップス残骸の参照を取り除くだけじゃなくて、これからのCDN利用も見直さないとなんでしゅね!
ボスそうだな。経緯と対処の詳細はこの解説記事がよくまとまっている。サードパーティJSの棚卸しと併せて読むといい。
polyfill.io問題は、2024年の侵害で広く知られた後も、参照が残り続けるサイトでは今になって新たな問題を引き起こす『サプライチェーン負債』の典型例です。
利用者は不審な認証ダイアログで資格情報を入力しないこと、運営者は参照を即時除去し代替CDNへ移行することが両輪となります。
サードパーティJSの棚卸しと統制設計を見直し、外部依存の負債を持ち越さないWebサイト運用に転換していきましょう。
オススメ案件
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
【セキュリティ製品の運用・新規構築支援】新宿御苑(リモート併用)/WAF・IPS・IDS
【銀行向けセキュリティ対策・AWSクラウド運用支援】勝どき/FISC準拠・AWS(IAM/Backup)
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
