概要
Polyfill.ioという広く利用されているJavaScriptライブラリにマルウェアを混入される事件が発生しました。このPolyfill.ioは、ウェブサイトが異なるブラウザで正しく動作するための互換性を提供するコードを提供しています。
事件の概要
買収とマルウェアの注入:
2024年2月、Polyfill.ioのドメインとGitHubアカウントが中国の企業Funnullに買収されました。その後、このライブラリにマルウェアが注入されました。
影響:
マルウェアは、cdn.polyfill.ioから提供されるスクリプトに含まれ、これを利用している約100,000のウェブサイトに影響を及ぼしました。ユーザーがこれらのウェブサイトを訪れると、マルウェアが実行され、データ盗難や不正なリダイレクトなどの被害が発生する可能性がありました。
検出と対応:
セキュリティ企業のSansecやその他の研究者がこの問題を特定し、警告を発しました。また、Googleはこのスクリプトを利用しているウェブサイトへの広告をブロックし、影響を受けたサイト運営者に対して警告を出しました。
対策と推奨
利用停止と代替:
開発者は、直ちにcdn.polyfill.ioドメインの使用を停止し、信頼できる代替手段や自己ホスティングのポリフィルを利用するよう推奨されました。
セキュリティ強化:
この事件は、サードパーティライブラリの使用におけるセキュリティの重要性を改めて浮き彫りにしました。開発者は、定期的なセキュリティ監査やソフトウェア構成管理(SBOM)の導入、サードパーティライブラリの脆弱性管理を徹底することが重要です。
まとめ
この事件は、ウェブ開発におけるサプライチェーンのセキュリティがいかに重要であるかを強調しており、外部リソースを統合する際には慎重なセキュリティ対策が不可欠です。