ディスクユニオンとARBANのサイトでpolyfill.io経由の不審な認証画面が表示-北朝鮮による認証情報窃取キャンペーンか|セキュリティとITのニュース-セキュリティ対策Lab

投稿日時: 2026年06月04日更新日時: 2026年06月04日

2026年5月31日夜から6月1日にかけて、ジャズ音楽メディア「ARBAN」（arban-mag.com）と音楽・映像メディアの通販サイト「ディスクユニオン」（diskunion.net）において、外部JavaScriptライブラリ「polyfill.io」を経由した不審な認証画面がサイト訪問者に表示されたことが確認されました。最大のリスクは、この「不審な認証画面」という表現が示す攻撃の進化にあります。

2024年に発覚したpolyfill.ioサプライチェーン攻撃は当初、スポーツ賭博サイトやアダルトサイトへのリダイレクトを主な手口としていましたが、2026年時点ではサイト訪問者からID・パスワードを直接収集する「クレデンシャル収集」という質的に深刻な段階に到達しています。

背景にはさらに重大な事実があります。

セキュリティ企業Hudson Rockは2026年3月11日、インフォスティーラーの感染により流出した工作員の端末データを分析し、polyfill.ioの攻撃インフラを実際に管理・運営していたのは中国系CDN企業「Funnull」に深く埋め込まれた北朝鮮（DPRK）国家支援のITワーカーであると特定しました。

すなわち、ARBANとdiskunion.netの訪問者が直面した不審な認証画面は、最終的には北朝鮮の国家サイバー作戦のインフラから供給された可能性があります。当サイトでは2024年8月に初報を公開していますが、本記事では2026年の新たな被害事例・攻撃の進化・DPRK帰属の証拠・2年間影響が継続している構造的理由を総合的に解説します。

サマリー

2026年5月31日夜〜6月1日朝、ARBAN（5/30〜6/1）・diskunion.net（5/31夜〜6/1朝）でpolyfill.io経由の不審な認証画面が確認。両サイトは既にpolyfill.ioを削除済み
diskunionは「ID・パスワード等をご入力されたお客様は速やかにパスワード変更を」と呼びかけ。両サイトともサイト自体への不正アクセス・情報漏えいは確認されていないとしている
これは2024年8月既報のpolyfill.io攻撃の継続。2024年はスポーツ賭博・アダルトサイトへのリダイレクトが主な手口だったが、2026年は偽認証画面によるクレデンシャル収集へと攻撃が悪化
OffSeq Threat Radar（2026年5月31日公開・6月3日更新）：「ユーザーが依然として予期しない認証プロンプトを経験している」と継続的な悪意ある動作を確認
Hudson Rock（InfoStealers、2026年3月11日）：LummaC2インフォスティーラーにより感染したDPRK工作員自身の端末から、polyfill.ioのCloudflare管理者認証情報を含む直接的な証拠を取得し、北朝鮮国家支援工作員によるpolyfill.ioの運営・管理を法科学的に立証
同一のDPRK工作員は、米国の暗号通貨取引所Gate.usへの侵入、日本の物質・材料研究機構（NIMS）からのネットワーク設計図窃取も実施
2024年6月のNamecheapによるドメイン停止（clientHold）にもかかわらずpolyfill.ioは2026年も悪意ある動作を継続。削除を怠ったWebサイトが全世界で残存している構造的問題が根本原因

1 ARBANとdiskunion.netで確認された不審な認証画面—事案の概要
2 polyfill.ioサプライチェーン攻撃の背景—2024年から続く構造的問題
3 攻撃の進化—「リダイレクト」から「クレデンシャル収集」へ
4 Hudson Rockが特定したDPRK帰属—インフォスティーラーが暴いた北朝鮮工作員
5 なぜ2024年から2年経った今も影響が続くのか—構造的問題の解剖
6 Webサイト管理者が今すぐ確認すべき対応
7 FAQ
8 参考情報

ARBANとdiskunion.netで確認された不審な認証画面—事案の概要

今回新たに確認された被害は、日本の音楽関連Webサイト2つに及んでいます。

ARBAN（arban-mag.com）はジャズを中心とした音楽・カルチャーマガジンです。同サイトは2026年6月2日に公式告知を掲載し、「2026年5月30日より6月1日にわたり、当サイト内のページにおきまして、外部サービス（polyfill.io）を介した不審な認証画面が表示される事象が確認されました。なお、現在は当該サービスをシステムより削除し、対応を完了しております」と発表しました。

diskunion.net（ディスクユニオン）はCD・レコードの新品・中古品を取り扱う大手音楽メディア通販サイトです。同サイトは2026年6月1日付の告知で「2026年5月31日夜から6月1日朝にかけて、当サイトの一部ページにおいて、外部サービス(polyfill.io)を経由した不審な認証画面が表示される可能性がある事を確認いたしました。現在は該当サービスを削除し、対応を完了しております」と発表しました

。さらに、「万が一、当該画面にてID・パスワード等をご入力されたお客様は、速やかに当サイトおよび同一情報を使用されている各サービスのパスワード変更をお願いいたします」と利用者への対応を求めています。

どちらのサイトも「サイト自体への不正アクセスや情報漏えいは確認されていない」としています。

これの不振アクセスは外部から読み込んでいたサードパーティのJavaScriptライブラリ（polyfill.io）が悪意あるコードを配信したという供給連鎖攻撃（サプライチェーン攻撃）の典型的な構造です。

polyfill.ioサプライチェーン攻撃の背景—2024年から続く構造的問題

当サイトの2024年8月の初報記事で詳述していますが、事案の背景を改めて整理します。

polyfill.jsは旧式ブラウザに最新のWeb機能を提供するためのJavaScriptライブラリで、多くのWebサイトがCDN（コンテンツ配信ネットワーク）経由でcdn.polyfill.ioから読み込んでいました。その普及規模は10万以上のWebサイトに及ぶとされていました。

2024年2月、このpolyfill.ioドメインとGitHubアカウントが中国系CDN企業「Funnull」によって買収されました。この時点でpolyfill.jsの元の開発者Andrew Bettsは「このドメインを直ちに使用を停止するよう」と警告を発しました。

2024年6月25日、サイバーセキュリティコンサル企業Sansecがcdn.polyfill.ioが悪意あるJavaScriptコードを配信していることを発見・公表しました

。当時の主な手口はスポーツ賭博サイト（ベトナム語のギャンブルサイト）やアダルトサイトへのリダイレクトであり、特にモバイルデバイスのユーザーを標的にし、管理者ユーザーを回避するなどの検出回避機能を持つ高度なコードが使用されていました。GoogleはこのドメインのJavaScriptを読み込んでいるサイトを持つ広告主に警告を送り、Cloudflare・Fastlyは安全な代替ミラーを設置しました。

2024年6月27日、ドメインのレジストラであるNamecheapはドメインをclientHoldステータス（DNS無効化）に設定し、当面の被害を止めました。しかしこの措置は完全な無効化ではなく、その後ドメインは部分的に再稼働しています。

攻撃の進化—「リダイレクト」から「クレデンシャル収集」へ

2024年の攻撃と2026年の攻撃の最大の違いは、その目的の質的変化にあります。

2024年の攻撃は主にスポーツ賭博・アダルトサイトへの誘導であり、アドフラウドや詐欺的な収益を目的とした比較的「迷惑系」の行為でした。ユーザーが不審なサイトにリダイレクトされても、そのサイトから直接個人情報が奪われるわけではありませんでした。

2026年の攻撃は質的に異なります。「不審な認証画面」とは、サイト訪問者にID・パスワードなどの認証情報を入力させる偽ログイン画面です。

OffSeq Threat Radar（2026年5月31日公開・6月3日更新）の分析も「ユーザーが予期しない認証プロンプト（credential prompts）を経験している」と確認しており、diskunionの告知が「ID・パスワード等をご入力されたお客様は速やかにパスワード変更を」と呼びかけていることと完全に一致しています。

これは攻撃が「アドフラウド」から「クレデンシャル収集→アカウント乗っ取り」というより深刻な段階へ進化したことを意味します。入力された認証情報が攻撃者に送信され、不正ログイン・二次攻撃・他サービスへのリスト型攻撃に転用される可能性があります。

Hudson Rockが特定したDPRK帰属—インフォスティーラーが暴いた北朝鮮工作員

今回の事案を最も重大なものにする背景情報は、Hudson Rockが2026年3月11日に公開した調査報告です。

OPSEC失敗がもたらした決定的証拠

Hudson Rockの調査は、逆説的な経緯から始まりました。polyfill.ioを実際に管理・運営していたDPRK（北朝鮮）の工作員が、不正コピーのソフトウェアをダウンロードしようとしてLummaC2というインフォスティーラーマルウェアに自ら感染してしまったのです。感染日時は2024年6月8日（UTC-7）、感染端末のホスト名はDESKTOP-OG1CFR5です。

このOPSEC（作戦上のセキュリティ）の致命的なミスにより、LummaC2は端末から以下を収集しました。

100以上の認証情報（パスワード）
7,000以上のブラウジングログ
Cloudflareの管理者アクセス認証情報
ブラウザのオートフィルテレメトリ
そして数千件もの内部Google翻訳履歴

polyfill.io管理者認証情報の直接確認

Hudson Rockが感染端末のパスワードダンプを解析した結果、4層のセキュリティ階層が明らかになりました。

最も重要なのは「Tier 4：Polyfillアドミン」パスワードで、これはpolyfill.ioを管理するCloudflareテナント（[email protected]）への独占的なアクセス認証情報です。この認証情報は感染した同一端末に保存されており、当該工作員がpolyfill.ioの攻撃インフラを直接管理していた法科学的証拠とHudson Rockは位置付けています。

さらに感染端末のブラウジングログには、「Brian」というペルソナを使ってFunnullのDNSバックエンド管理ポータル（kk5yuzmev2qbgulz.com）にログインした記録も含まれていました。Infoblox社のZach Edwards氏はこのDGAスタイルのドメインがFunnullのコアインフラ（t2.funnull.host）と共通の逆引きPTRレコードを持つことを独立して検証しています。

北朝鮮工作員の多面的な活動

Hudson Rockの分析が示す工作員の活動範囲は、polyfill.ioをはるかに超えています。

複数のペルソナを使い分けてKYC（本人確認）規制を回避しながらリモートIT技術者として活動していた工作員は、米国の暗号通貨取引所Gate.usに「Ariel Cruz」というペルソナで潜入することに成功しました。

さらに皮肉なことに、この制裁対象の北朝鮮工作員はWebコンプライアンスベンダー（Sumsub）のGoogle Meetに参加し、自身を捕捉するために設計されたAML/KYCの論理そのものを定義する場に同席していたとされています。

日本への直接的な波及も確認されています。

同一工作員が日本の物質・材料研究機構（NIMS）から、エアギャップされたネットワークの設計図を窃取したことが報告されており、収益目的のITワーカー詐欺から国家安全保障上の重要インフラへの科学スパイ活動への転換を示しています。

工作員はTelegramを基盤とした自動化された暗号通貨マネーロンダリングゲートウェイも構築しており、毒入りCDNノードをリースしてUSDTを人手を介さずに洗浄する仕組みを運用していました。皮肉にも、これだけの規模のサイバー作戦を指揮していたにもかかわらず、工作員は中国人ハンドラー（「ggbond」と呼ばれる）から「指導が多すぎる」として月給を3,000ドルに削減され、「パフォーマンス改善計画（PIP）」を受けさせられていたとされています。

Google翻訳テレメトリが証明した北朝鮮語の存在

北朝鮮帰属を確定させる証拠の一つが、感染端末から取得された大量のGoogle翻訳URLテレメトリです。工作員は「英語（米国人雇用主からのメッセージ）→韓国語（思考処理）→英語（返答）」という「メンタルブリッジ」ワークフローを使っており、ネイティブ言語が韓国語であることが明確に示されています。

なぜ2024年から2年経った今も影響が続くのか—構造的問題の解剖

今回のARBANとdiskunionへの影響は、2024年6月に一度「解決済み」とされた問題が2026年も継続している構造的な理由を示しています。

第一の理由は削除を怠ったWebサイトの残存です。

Sansecが発見した2024年7月2日時点のデータでは、38万以上のホストが依然として悪意あるcdn.polyfill.ioスクリプトを埋め込み続けていました。Namecheapのclienthold設定後に自サイトから参照コードを削除した管理者は一部にとどまり、ARBANとdiskunionもその残存グループの一員でした。

第二の理由はChromeのブロッキングの不完全性です。

Google ChromeはChrome 126以降でpolyfill.ioへのリクエストをブロックするようになりましたが、OffSeqの分析が指摘するように「ブロッキングが完全ではない、または普遍的に適用されていない」状況が続いています。古いブラウザのユーザー、一部のブラウザ環境、特定の設定条件下では依然としてスクリプトが読み込まれます。

第三の理由はドメインの部分的な再稼働です。

Namecheapによるclienthold設定は完全な恒久的廃止ではなく、polyfill.ioドメインは2026年6月時点でも部分的に稼働しています。MalwareTipsが6月2日に実施した調査では、92のセキュリティエンジン中8件（EmsisoftやFortinet含む）がpolyfill.ioを悪意ありとして検出しています。

Webサイト管理者が今すぐ確認すべき対応

polyfill.ioの完全削除の確認

管理するWebサイトのHTMLソースコード、JavaScriptの読み込み設定、WordPressプラグイン・テーマを確認し、cdn.polyfill.ioやpolyfill.ioへの参照が一切ないことを確認してください。WordPressを使用している場合、古いプラグインやテーマが自動的にpolyfill.ioを読み込んでいる場合があります。

代替CDNへの移行

polyfillの機能が必要な場合は、Cloudflare（cdnjs.cloudflare.com/polyfill/）またはFastlyが提供する安全な代替ミラーに切り替えてください。ただし、モダンブラウザの普及率を考えると、多くの場合polyfillそのものが不要になっている可能性があります。

サードパーティJavaScriptの定期監査

今回の事案が示すように、サードパーティのJavaScriptライブラリは事業者の意図と無関係に悪意ある配信元に変わる可能性があります。定期的なサードパーティスクリプトの棚卸しとContent Security Policy（CSP）の導入を検討してください。

利用者向け対応（diskunionのケース）

告知期間中（5月31日夜〜6月1日朝）にdiskunion.netを訪問し、表示された認証画面にID・パスワードを入力した可能性がある場合は、diskunion.netのパスワードおよび同一パスワードを使用している他のすべてのサービスのパスワードを速やかに変更してください。

FAQ

Q. 今回の不審な認証画面でID・パスワードを入力した場合、どうなりますか？ A. 入力した認証情報が攻撃者に送信された可能性があります。速やかに当該サービス（diskunion.net等）のパスワードを変更するとともに、同一パスワードを使いまわしている他のすべてのサービス（メール・SNS・ネットバンキング等）でもパスワードを変更してください。不正ログインの確認のため、ログイン履歴も確認することを推奨します。

Q. ARBANやdiskunion.netのシステムから個人情報が漏えいしたのですか？ A. 両サイトとも「サイト自体への不正アクセスや情報漏えいは確認されていない」としています。今回の被害はサイトのシステムへの侵入ではなく、サイトが読み込んでいた外部JavaScriptライブラリ（polyfill.io）が悪意ある動作をしたというサプライチェーン攻撃です。サイトに登録している個人情報が直接漏えいしたとは現時点で報告されていません。

Q. polyfill.ioをサイトに埋め込んでいるかどうかはどう確認しますか？ A. ブラウザの開発者ツール（F12キー）で「ネットワーク」タブを開き、サイトをリロードしてpolyfill.ioを含むリクエストが発生していないか確認してください。WordPressを使用している場合は、テーマエディターやプラグイン設定でpolyfill.ioへの参照がないか確認します。

Q. polyfill.ioの攻撃者が北朝鮮であることは確定ですか？ A. Hudson Rockの報告は「法科学的レベルの証拠によりDPRKとの関連を確立した」と主張していますが、これは民間セキュリティ企業の分析であり、政府機関による公式帰属ではありません。ただし、感染端末から取得されたpolyfill.io管理者認証情報・Funnullバックエンドへのアクセス記録・Google翻訳テレメトリにおける韓国語の使用・Stark Industries（DPRK関連のブレットプルーフホスト）専用の「nk」プレフィックスパスワード等の証拠は多層的かつ具体的で、信頼性が高いと評価されています。