2026年5月末から6月初旬にかけて、東芝、良品計画(無印良品)、象印マホービン、リクルートマネジメントソリューションズ(SPI)、医歯薬出版、FiNC Technologies、ほぼ日など、日本企業・団体の複数サイトで、意図しない認証画面が表示される事象が相次ぎ公表・報道されました。共通の起点は、過去にサプライチェーン攻撃の舞台となった外部サービス polyfill[.]io です。Samsung Smart TV利用者や一部Webサイトでも、6月1日以降に同様のログインプロンプト表示が報告されており、現象は日本企業のWebサイトに限られません。
事象の概要と影響
| 項目 | 内容 |
|---|---|
| 事象 | 各社Webサイトの一部ページを開いた際、ユーザー名・パスワードの入力を求める認証画面が表示される |
| 原因 | 各社サイトに残存していた外部スクリプト参照先 polyfill.io が、HTTP 401 Unauthorized応答を返すようになり、ブラウザがBasic認証要求として解釈して認証ダイアログを表示 |
| 影響期間 | 2026年5月30日頃〜6月2日夜(リクルートマネジメントソリューションズ公式)。BleepingComputerは「2026年5月末から」と報じている |
| 公表・報道で確認された日本の影響企業・サイト | 東芝、良品計画(無印良品)、象印マホービン、リクルートマネジメントソリューションズ(SPI)、医歯薬出版、FiNC Technologies、ほぼ日 |
| 海外の影響 | Samsung Smart TV利用者や一部Webサイトで、6月1日以降に polyfill.io 由来のログインプロンプト表示が報告されている(Pasquale Pillitteri氏報告) |
| 情報漏えい・不正取得 | 無印良品、リクルートマネジメントソリューションズ、医歯薬出版などは、現時点で不正アクセスや情報漏えい、不正取得は確認されていないと説明している。BleepingComputerも、影響サイトが侵害された、または入力された認証情報が窃取されたことを示す情報は現時点でないと報じている。一方、各社発表の記述粒度には差があるため、全社一律の確認済み事項としては扱わない |
| 各社の対処 | 公表されている範囲では、各社が当該外部サービスの利用停止、参照削除、または認証画面が表示されないようにする対策を実施。東芝、無印良品、象印、ほぼ日などは対応完了を公表済み |
技術メカニズム:HTTP 401応答がブラウザの認証ダイアログを呼び出す
Polyfillは、古いブラウザでも新しいJavaScript機能を利用できるよう互換性レイヤを提供する仕組みで、polyfill.io はそれを配信するCDNとして広く使われてきました。
BleepingComputerが引用するPillitteri氏の報告によると、2026年5月末から polyfill.io ドメインが再びアクティブになり、HTTP 401 Unauthorized応答を返すようになりました。多くのブラウザは、サーバーから401応答とWWW-Authenticateヘッダーを受け取ると、ユーザー名とパスワードの入力を求めるBasic認証のダイアログを表示します。各社サイトに残されていた polyfill.io へのスクリプト参照を読み込んだ際、ブラウザがこの仕様に従って認証画面を提示してしまった、というのが事象の構造です。
東芝の公式アナウンスでは、表示される画面例が掲載されており、「現在、このようなサインイン画面が表示されないよう順次対応を進めておりますが、サインイン画面が表示された際には何も入力せず『キャンセル』を選択していただけますよう、お願いいたします」と案内されています。万一入力してしまった場合は、同じユーザー名・パスワードを使っている他サービスのパスワード変更を推奨しています。
無印良品(良品計画)も同様に「現時点では、当サイトへの不正アクセスや情報漏えいは確認していませんが、お客様の安全を確保するため、対応をご検討ください」と注意喚起しています。
各社の公式アナウンスから読み取れる詳細
影響企業の中で最も詳細な技術記述を行っているのが、リクルートマネジメントソリューションズの適性検査SPIサイトです。同社の2026年6月3日付お知らせでは次のように記載されています。
- 影響期間:2026年5月30日頃から6月2日夜にかけて
- 対象サイト:SPIお客様登録フォーム(
regform.recruit-ms.co.jp/spi) - 原因:「Webサイトの表示機能を補完するために利用していた外部提供プログラム(polyfill[.]io)の影響」
- 当該認証画面に入力されたユーザー名・パスワードについては、漏えいや不正取得は確認されていない
- 登録フォームに入力された会社名、氏名、住所、電話番号、メールアドレス等の情報についても、漏えいや不正取得が発生していないことを確認済み
- 対応:当該外部サービスの利用を停止し、認証画面が表示されないよう対策を実施
SPIは就職・採用適性検査として広く使われているサービスで、お客様情報登録フォームは導入を検討する企業の担当者が利用する窓口です。同社が原因を「polyfill.io の影響」と明示しており、各社で起きた事象の起点が共通であることを裏付ける公式記述です。
FiNC Technologiesについては、ITmediaが「外部ライブラリ(polyfill.io)の改ざんに起因する」との同社説明を報じています。ただし、2026年6月時点で観測されている主な挙動はHTTP 401応答による認証プロンプト表示であり、現時点で悪意あるスクリプト配信や認証情報窃取が確認されたわけではありません。
2024年polyfill.io事件の延長としての文脈
今回の事象を理解するには、2024年6月の polyfill.io サプライチェーン攻撃の経緯を押さえる必要があります。
polyfillの元となるオープンソースプロジェクトを開発したAndrew Betts氏は、配信用ドメイン polyfill.io の所有者ではなく、ドメインが期限切れとなった際、誰でも取得できる状態になっていました。2024年初頭、このドメインは中国系企業 Funnull に取得され、配信スクリプトに悪意あるコードが追加されました。BleepingComputerが当時報じた内容によれば、Sansec の調査では10万以上のサイトに影響が及び、改ざんされたスクリプトはモバイルデバイスで特定の条件下のみ起動する仕組みで、リバースエンジニアリング対策も施されていたとされます。
事件発覚後、ドメイン登録者のNamecheapがドメインを停止し、Cloudflareは polyfill.io へのリンクを自社の代替実装にミラーするなどの対応を取り、当面の被害は収束しました。元の作者Betts氏は「現代のブラウザではpolyfillはほぼ不要」として利用停止を呼びかけたうえで、新ドメイン polyfill.com でサービスを再開(後に polyfill.top へ移行)しています。
ただし、2024年の停止後も、サイトオーナーが polyfill.io へのスクリプト参照を完全に削除できなかったページが残存していました。今回の事象は、その「残骸」が再活性化したドメインに反応した結果として発生しています。
ドメインの再活性化状況
ITmediaの報道によると、Namecheap管理下で停止状態だった polyfill.io のドメイン情報は、2026年5月21日に更新されており、現在は有効化されている模様です。レジストラはGoDaddyに移管されており、登録者情報は公開されていません。
本稿確認時点で、再活性化したドメインから配信されている内容はHTTP 401応答であり、悪意あるスクリプトの配信や認証情報の窃取は確認されていません。ただし、現在の運用主体が不明であり、応答内容が今後変更される可能性は排除できません。
実務者が確認すべき項目
自社サイトで polyfill.io を過去に利用していた可能性がある場合、以下の確認を推奨します。
- サイト全体のスクリプト参照の棚卸し:
cdn.polyfill.io、polyfill.ioへのscriptタグやインポートが残存していないかを全ページ・全テンプレートで確認 - CMSテーマ・プラグイン・サードパーティ製ウィジェットの確認:自社で直接記述していなくても、テーマやプラグイン、外部ベンダー提供のフォーム部品などが内部的に
polyfill.ioを参照しているケースがある - キャッシュ済みリソースの確認:CDNやブラウザキャッシュに古い参照が残っていないか
- CSP・SRI・自己ホスト化の検討:外部スクリプトを読み込む必要がある場合は、Content-Security-Policyで読み込み元を制限し、Subresource Integrityが利用できるリソースではハッシュ検証を導入する。互換性目的のpolyfillが本当に必要かを見直し、必要な場合も自己ホスト化や信頼できる代替配信元への移行を検討する
- 利用者向け案内の準備:もし認証画面が表示された場合に備え、「何も入力せずキャンセルを選択するよう」案内できる体制
- ログ・アクセス監視:
polyfill.ioへの外部リクエストが発生していないかをネットワークログで確認
過去のサプライチェーン攻撃で停止されたドメインが時間を経て再度活性化する事例は、本件以外にも複数報告されています。「停止後にサイトから参照を削除する」というワンショットの対応では不十分で、サイトの構成要素として残存する外部依存を定期的に棚卸しする運用が必要となります。
一次情報・公式情報
- 東芝「【重要なお知らせ】不審なサインイン画面について」
- 良品計画「不審な認証画面の表示について」
- 象印マホービン「不審な認証画面の表示について」(PDF)
- リクルートマネジメントソリューションズ「お客様情報登録フォームにおける意図しない認証画面表示に関するお詫びとお知らせ」
- 医歯薬出版「学術書100周年ページにおける不審な認証画面表示について」
- FiNC Technologies「【重要なお知らせ】不審な認証画面の表示に関するお詫びとご報告」
- ほぼ日「当社が意図していない不審な認証画面の表示について」
参考情報
- Suspicious Polyfill login prompts pop up on Toshiba, Muji websites – BleepingComputer
- いずれも日本企業など、複数の企業で「不審なログイン画面」 各社が注意呼びかけ「polyfill io」経由か – ITmedia NEWS
- Popup polyfill.io Smart TV Samsung como solucionar – Pasquale Pillitteri
- Polyfill supply chain attack hits 100K+ sites – Sansec(2024年事件の元レポート)
- Polyfill.io JavaScript supply chain attack impacts over 100K sites – BleepingComputer(2024年6月)
slug: polyfill-io-japan-sites-401-prompt
コメント