JavaScriptのライブラリ「Polyfill.io」にマルウェア混入 10万以上のWebサイトに影響:セキュリティニュースアラート
SansecはJavaScriptのライブラリ「Polyfill.io」にマルウェアが混入したと伝えた。このマルウェアは10万以上のWebサイトに影響を与えた可能性がある。
セキュリティ企業Sansecは2024年6月25日(現地時間)、JavaScriptのライブラリ「Polyfill.io」にマルウェアが混入していたと報じた。混入したマルウェアは10万以上のWebサイトに影響を与えたとされている。
Polyfill.jsは古いWebブラウザをサポートするためのライブラリであり、「JSTOR」や「Intuit」「World Economic Forum」など多くのWebサイトで利用されている。2024年2月に中国企業が「cdn.polyfill.io」ドメインと「GitHub」アカウントを購入した後、マルウェアが埋め込まれたコードが配布されるようになったという。
中国企業によるPolyfill.ioの買収とマルウェアの混入
Sansecの分析によると、サイバー攻撃者が「Google Analytics」ドメインを偽造し、モバイルユーザーをスポーツベッティングサイトにリダイレクトする特定のマルウェアを仕込んでいたことが判明した。特定の時間に特定のモバイルデバイスでのみアクティブになるように設計されており、Web分析サービスを検出した際には実行が遅れる処理が施されていることが確認された。
この事態に対し、セキュリティ企業のCloudflareも調査を実施し、Sansecの調査結果を支持している。Cloudflareではcdn.polyfill.ioへのリンクを自社のミラーに書き換えるサービスを公開しており、これを利用することでWebサイトの機能が損なわれるのを防ぎながら、ソフトウェアサプライチェーン攻撃のリスクを軽減できると説明している。
Polyfillの元開発者であるアンドリュー・ベッツ氏は最新のWebブラウザではもはやPolyfill.ioが必要ないことを理由に使用を控えるよう自身の「X」(旧Twitter)アカウントで発信している。必要な場合はFastlyとCloudflareが提供する信頼性の高い代替手段の使用を推奨している。
このセキュリティインシデントはソフトウェアサプライチェーン攻撃の典型的な例として注目されている。Webサイトの運営者はリスクを最小限に抑えるために適切な対策を講じることが求められている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 「監視、分析、時々棚卸し」をモットーにせよ ホワイトハッカー流IT資産保護のススメ
「IT資産の保護は『監視、分析、時々棚卸し』をモットーにせよ」――ホワイトハッカーの守井浩司氏がエンドポイントセキュリティ保護のポイントと実践的な対策のステップを語った。 - Microsoftが“四面楚歌” 政府機関などからインシデント対応について厳しい非難の声
MicrosoftはMicrosoft Exchange Onlineのハッキング被害に関する広範な欠陥を認めるとともに、企業や業界、国が前進するために必要なステップについて説明する予定だ。 - C/C++の脆弱性をLLMで検出 Googleが新研究開発プロジェクト「Naptime」を発表
GoogleはLLMを使った新しい研究開発プロジェクト「Naptime」を発表した。NaptimeはC/C++の高度なメモリ破壊やバッファーオーバーフローの脆弱性を発見するのに特化するものだという。 - 結局、ランサムウェア身代金は支払った方がいいのか? 被害実態から見えた答え
日本国内においてランサムウェアの身代金支払いに関する議論が話題を集めている。ランサムウェア対策における身代金支払いの是非について有識者が見解を示した。