東芝や無印良品など複数企業で「不審なログイン画面」 polyfill.io 経由のサプライチェーン攻撃

概要

東芝、無印良品（MUJI）、象印マホービン、ボートレース、リクルート（SPIシステム）、FiNC Technologies、ほぼ日など複数の企業・サービスのサイトで、ユーザーがページを開いた際に不審な認証（ログイン）画面が表示されるインシデントが2026年5月末〜6月初旬にかけて発生した。

原因は外部JavaScriptライブラリ polyfill.io を経由したサプライチェーン攻撃。

詳細

• 不審な画面はURLに polyfill.io と表示されるログイン画面
• 象印マホービンは6月3日付の告知でスクリーンショット付きの注意喚起を公開
• 表示された場合は何も入力せず「キャンセル」を選ぶよう呼びかけ
• 各社はpolyfill.ioへの参照を削除済みまたは削除対応中、不正アクセス・情報漏えいは未確認
• FiNC Technologiesは「外部ライブラリ（polyfill.io）の改ざんに起因する」と明言

polyfill.io とは

• もともと古いブラウザでも新機能をサポートできるようにする人気の外部ライブラリ
• 2024年に中国企業に買収されてから悪意あるサプライチェーン攻撃の媒体となった経緯がある
• セキュリティ企業 Sansec は1億以上のサイトへの影響を警告（過去）
• Namecheap によるドメイン停止後も、2026年5月21日に更新された状態で有効になっている模様

対応

• IDやパスワードを入力してしまった場合は、そのサービスおよび使い回しているすべてのサービスのパスワード変更を推奨
• 最新のブラウザではpolyfillは不要とされており、利用を避けることが推奨される

参照

• 出典: ITmedia NEWS（2026/06/04）
• はてなブックマーク数: 232