無印良品、ディスクユニオン、東芝など複数のサイトで「不審な認証画面」が表示される

　株式会社良品計画（無印良品）は「不審な認証画面の表示について」という注意喚起情報を公開し、同社のウェブサイトの一部で、「外部サービス（polyfill.io）を経由し、不審な認証画面が表示される事象が発生していた可能性がある」とした。なお、6月3日に対策済みとされている。

　認証画面の例は、下図のようなもの。同様の注意喚起は、ディスクユニオン、東芝など複数のウェブサイトで公開されている。

良品計画「不審な認証画面の表示について」より。認証画面の例

　良品計画など注意喚起を行っている各社では、認証画面にユーザー名やパスワードを入力した場合は、当該サービスのパスワードを変更するとともに、ほかのパスワードも変更するようにと呼び掛けている。

　この認証画面が表示される原因とみられる「polyfill.io」は、オープンソースのJavaScriptライブラリ。古いウェブブラウザーでウェブサイトにアクセスした際に、不足した機能を補って新しいウェブブラウザーと同様の挙動を実現する機能を持っており、そのために外部のサーバーとの通信も行っていたため、上記注意喚起では「外部サービス」と呼ばれている。

2024年に問題が発生していた

　2024年2月に、そのサーバーである「polyfill.io」のドメインが中国に関係するとみられる事業者に譲渡された。そして同年6月、セキュリティ企業Sansecが、polyfill.ioのコンテンツ配信ネットワーク（CDN）が悪質なJavaScriptライブラリを配信していると報告。モバイルデバイスからのアクセス対して悪意あるサイトにリダイレクトする攻撃が確認され、同ドメインをレジストラであるNamecheapが無効化する対策が取られた。

　polyfill.io開発者であるAndrew Betts氏は、2024年2月の時点で、すでにpolyfill.ioは必要がなく、ウェブサイトでまだ使用しているならすぐ削除してほしい、との旨のメッセージをX（旧Twitter）でポストしている（一部は削除済み）。

　polyfill.ioの悪用はその後大きな話題にはなっていなかったが、そのままpolyfill.ioを放置していたウェブサイトで、不審な認証画面が表示される現象が発生したとみられる。