Polyfill.io は、アンドリュー・ベッツ 氏によって開発されたJavaScriptライブラリです。
ウェブブラウザのバージョン間に存在する機能の差異を気にすることなく開発を進められるようにします。
しかし、2024年2月のプロジェクトオーナー(Funnull)変更後、マルウェアが混入されてサプライチェーン攻撃に利用され、10万以上のサイトに影響が出たとされています。
1. ドメイン所有者の変更とコミュニティの懸念
2024年2月
polyfill.ioドメインと関連するGitHubアカウントが、Funnull Technology Inc. に売却されました。
プロジェクトのオリジナル作成者である アンドリュー・ベッツ 氏を含むコミュニティは、新しい所有者の信頼性について懸念を表明し、ユーザーにサービスの利用を直ちに停止するよう呼びかけました。
2. サプライチェーン攻撃の発生と拡大
2024年6月
cdn.polyfill.ioから配信されるJavaScriptコードが改ざんされ、悪意のあるコードが注入されるようになりました。これはサプライチェーン攻撃として特定されました。
この改ざんされたコードにより、ウェブサイトの訪問者が詐欺サイト、オンライン賭博サイトなどにリダイレクトされる事象が確認されました。
影響を受けたウェブサイトは10万件以上(後に30万件以上という報告も)に上り、広く使われているサービスにも及んだことが報告されました。
Polyfill.ioは、サプライチェーンのリスクはないと主張し、悪意ある活動への関与を否定しています。
3. セキュリティ業界と公的機関の対応
2024年6月
ドメインレジストラである Namecheap は、polyfill.ioのドメインを停止しました
これにより、悪意のあるコードの配信が停止されました。
Cloudflare は、自社のCDN(cdnjs)内に安全な代替ミラーを設定し、プロキシ経由のウェブサイト向けに自動でURLを置き換える機能を提供しました。Fastlyも代替ドメインを提供しました。
4. その後
Funnullは、仮想通貨投資詐欺(通称「豚の屠殺詐欺」など)に関与し、詐欺サイトのインフラ提供を行っていたとして、米国財務省外国資産管理局(OFAC)から制裁措置を受けています。
2025年5月29日
米国財務省外国資産管理局(OFAC)は Funnull Technology Inc. とその管理者である Liu Lizhi 氏に対し、制裁措置を発表しました。
ただの暇つぶしで調べたのですが、改めて考える良い機会になりました。
私たちWEBエンジニアは、コードの機能性だけじゃなく、使っているライブラリ(依存先)が信頼できるか、セキュリティは大丈夫か、常に意識しないといけませんね。
このような大規模なサプライチェーン攻撃の被害者にも加害者にもならないように。
読んでいただき、ありがとうございました。
