JavaScriptのライブラリ「Polyfill.io」にマルウェア混入 10万以上のWebサイトに影響：セキュリティニュースアラート

SansecはJavaScriptのライブラリ「Polyfill.io」にマルウェアが混入したと伝えた。このマルウェアは10万以上のWebサイトに影響を与えた可能性がある。

[後藤大地，有限会社オングス]

　セキュリティ企業Sansecは2024年6月25日（現地時間）、JavaScriptのライブラリ「Polyfill.io」にマルウェアが混入していたと報じた。混入したマルウェアは10万以上のWebサイトに影響を与えたとされている。

　Polyfill.jsは古いWebブラウザをサポートするためのライブラリであり、「JSTOR」や「Intuit」「World Economic Forum」など多くのWebサイトで利用されている。2024年2月に中国企業が「cdn.polyfill.io」ドメインと「GitHub」アカウントを購入した後、マルウェアが埋め込まれたコードが配布されるようになったという。

中国企業によるPolyfill.ioの買収とマルウェアの混入

　Sansecの分析によると、サイバー攻撃者が「Google Analytics」ドメインを偽造し、モバイルユーザーをスポーツベッティングサイトにリダイレクトする特定のマルウェアを仕込んでいたことが判明した。特定の時間に特定のモバイルデバイスでのみアクティブになるように設計されており、Web分析サービスを検出した際には実行が遅れる処理が施されていることが確認された。

　この事態に対し、セキュリティ企業のCloudflareも調査を実施し、Sansecの調査結果を支持している。Cloudflareではcdn.polyfill.ioへのリンクを自社のミラーに書き換えるサービスを公開しており、これを利用することでWebサイトの機能が損なわれるのを防ぎながら、ソフトウェアサプライチェーン攻撃のリスクを軽減できると説明している。

　Polyfillの元開発者であるアンドリュー・ベッツ氏は最新のWebブラウザではもはやPolyfill.ioが必要ないことを理由に使用を控えるよう自身の「X」（旧Twitter）アカウントで発信している。必要な場合はFastlyとCloudflareが提供する信頼性の高い代替手段の使用を推奨している。

　このセキュリティインシデントはソフトウェアサプライチェーン攻撃の典型的な例として注目されている。Webサイトの運営者はリスクを最小限に抑えるために適切な対策を講じることが求められている。