東芝や無印良品など、複数の企業で「不審なログイン画面」　各社が注意呼びかけ　「polyfill io」経由か

「polyfill.ioはもともと、古いブラウザであっても新機能をサポートできるようにする人気の外部ライブラリだったが、2024年に中国企業に買収されるとサプライチェーン攻撃の舞台となった」

npmで手元にダウンロードすると情報を抜き取られるし、CDN参照方式はドメインごと乗っ取られて悪意あるスクリプトに差しえられるし。

polyfillのゾンビっぷりヤバいな。2024年に騒がれたのにまだ残してる企業多すぎだろ

大手なのにどういうこと

元が普通に開発していた普通のアプリケーションでも買収で何に変貌するかわからない。今のところSimejiで具体的に何か起きた話は聞かないが使わない

特にCDN経由のサードパーティーライブラリーは極力使わないようにしていた僕が正しかったわけだけど、当時はいかに利用するかが評価されていたからな。

‘Namecheapにより停止となっていたpolyfill.ioだが、ドメインを照会したところ、2026年5月21日に更新されており、現在有効になっているようだ。’

まーた中国かよ。世界の癌過ぎる

いまだに放置しているとは……

外部の動的スクリプト直読みを便利だからと使ってきたWeb業界の無責任さが根本原因じゃないの?

数年前にさんざん話題になったのに放置しているのはただの怠慢だよ/スクリプトの読み込みならSubresource Integrityで防げるしまじで放置してる企業側の責任でしょ/いや、SRIを設定しててもBasic認証は表示されるわ（多分）

“無印良品を展開する良品計画、東芝、リクルートマネジメントソリューションズ、象印マホービンのほか、医歯薬出版、健康関連サービスのFiNC Technologies、ほぼ日など”

まだ外向きのサービスで使ってるところあるんだ

放置してたサイトもやべー / "Namecheapにより停止となっていたpolyfill.ioだが、ドメインを照会したところ、2026年5月21日に更新されており、現在有効になっているようだ。レジストラは米GoDaddy、登録者は公開されていない。"

生きとったんかワレ感

運営が悪意化したケースではSRIでは…。

“2024年に中国企業に買収されるとサプライチェーン攻撃の舞台となった”だれがやったのかまるわかりってもの酷い話だ。攻撃するために購入した。

買った先が今までと同じように運営してくれるとは限らない……ともあれ、パスワードの使い回しはダメ絶対！

“polyfill.ioはもともと、古いブラウザであっても新機能をサポートできるようにする人気の外部ライブラリだったが、2024年に中国企業に買収されるとサプライチェーン攻撃の舞台となった。”

別に好きにCDN経由で読んでもいいけどintegrity属性でハッシュ指定は必須だよ