polyfill.ioによる不審認証画面表示、無印良品・ほぼ日・Samsung Smart TVほか多数が告知-北朝鮮のサプライチェーン型サイバー攻撃キャンペーン|セキュリティとITニュース-セキュリティ対策Lab

投稿日時: 2026年06月05日更新日時: 2026年06月05日

2026年5月30日〜6月1日にジャズ音楽メディアのARBANとディスクユニオンへの影響を報じた前報記事に続き、polyfill.io経由の不審な認証画面に関する告知が日本の有名企業・サービスから相次いでいます。

無印良品・象印マホービン・ボートレース公式サイト・FiNC（FiNC U）・ウッドワン・ほぼ日・メディウェル（エピロギ）などが追加の対象として確認されています。

また、Samsung製スマートテレビにもpolyfill.ioへの参照が残存していたため、6月1日以降に数千台規模でBASIC認証ダイアログが表示されるという事態に発展しています。

最大の新事実は再燃の技術的原因です。2024年6月にNamecheapがclientHold（DNS停止）状態にしていたpolyfill.ioドメインが、2026年5月21日（日本時間5月22日）にNamecheapからGoDaddyへと登録移管され、5月23日以降に再稼働を始めていたことがWHOIS・Wayback Machineの調査で判明しました。

北朝鮮（DPRK）帰属の問題については、前報記事でHudson Rockが示したDPRK（北朝鮮）工作員のCloudflare管理者（Tier 4）権限の保有という事実が、今回の第2波とも関連している可能性があります。

ドメインのレジストラ（Namecheap→GoDaddy）とコンテンツ配信のCDN（Cloudflare）は独立した管理系統であり、Cloudflare管理者権限を依然として保持している攻撃者がいれば、レジストラの変更によるドメイン復活と同時にコンテンツ配信の制御を再開できる構図が成立します。本記事では第2波の被害企業一覧・ドメイン移管の経緯・DPRK（北朝鮮）帰属との整合性分析・Webサイト管理者が今すぐ行うべき確認手順を解説します。

サマリー

2024年に停止されたはずのpolyfill.ioドメインが2026年5月21日にNamecheapからGoDaddyへ移管されて再稼働。5月31日頃からBASIC認証ダイアログ要求が始まり、多数の日本サイトで被害
第2波での告知確認企業：無印良品（6/3 11:30対応完了）・象印マホービン（6/3 18:30対応完了）・ボートレース公式（6/1 11:45対応完了）・FiNC（5/31夜〜6/1 15時）・ウッドワン・ほぼ日・メディウェル（エピロギ）ほか
前報既報の被害：ARBAN（5/30〜6/1）・diskunion.net（5/31夜〜6/1朝）
三井アウトレットパーク（倉敷・横浜等）・Samsung Smart TV（数千台規模）にも影響
DPRK（北朝鮮）帰属の継続的な疑い：Hudson Rockは前報で、DPRK（北朝鮮）工作員が**polyfill.ioを管理するCloudflare CDNの管理者認証情報（Tier 4）**を保有していたことを法科学的に確認。ドメインのレジストラとCloudflare CDNは独立した管理系統のため、レジストラ移管（Namecheap→GoDaddy）でドメインが復活するとともに、Cloudflare管理者権限を持つ攻撃者がコンテンツ配信を再開した可能性がある
ただし新所有者のWHOIS情報は非公開であり、帰属は「Funnull/DPRK（北朝鮮）継続」か「新たな悪意あるアクター」か「善意の第三者」かは確定していない
Webサイト管理者は今すぐpolyfill.ioへの参照を検索・削除することが最優先

1 第2波の直接原因—ドメイン移管（Namecheap→GoDaddy）の詳細経緯
2 DPRK（北朝鮮）帰属の継続的な疑い
3 被害が確認された企業・サービス一覧
4 Samsung Smart TVへの意外な波及
5 Webサイト管理者が今すぐ行うべき確認と削除手順
6 サイト訪問者が取るべき対応—入力した・しなかった場合別チェックリスト
7 FAQ
8 参考情報

第2波の直接原因—ドメイン移管（Namecheap→GoDaddy）の詳細経緯

Qiita（@Robot-Inventor氏）・Zenn（@awesome_kou氏）のエンジニアによる独立した調査が明らかにした経緯は次のとおりです。

2024年6月27日：Sansecの調査を受けてNamecheapがpolyfill.ioにclientHoldステータスを適用。これはDNS応答の一時停止であり、ドメインの完全廃止・削除ではありませんでした。ドメインの登録自体は継続していました。

2026年5月5日頃：@awesome_kou氏がWHOIS情報にpolyfill.ioのレジストラが変更されていることを最初に確認。

2026年5月21日（日本時間5月22日）：WHOIS情報が更新され、レジストラがNamecheapからGoDaddyへと移管完了。「登録日を保ったまま」の移管であることから、ドメインの所有権自体の移転が示唆されます。

2026年5月23〜30日：Wayback Machineのアーカイブがpolyfill.ioのWebサイトの復活を記録。少なくともこの期間にHTTPが応答を返していたことが確認されます。

2026年5月31日頃〜：polyfill.ioがBASIC認証（HTTP 401）を要求するレスポンスを返し始め、サイト内にpolyfill.ioへの参照が残存していたサイトの訪問者に認証ダイアログが表示されるようになりました。

なお、ドメイン所有者の情報は現在もWHOIS Privacyにより非公開となっており、新所有者が誰かは公式には確認されていません。

DPRK（北朝鮮）帰属の継続的な疑い

前報記事でHudson Rockが2026年3月11日に発表した調査の最重要点は、DPRK（北朝鮮）工作員がpolyfill.ioを管理するCloudflareテナントのTier 4管理者認証情報（[email protected]）を保有していたという法科学的証拠です。

ここで「ドメインのレジストラ」と「Cloudflare CDN」が独立した管理系統であることを理解することが重要です。

管理系統	担当範囲	2024年の対応
ドメインレジストラ（Namecheap→GoDaddy）	DNSを通じてドメインの「向き先」を管理	clientHoldでDNS停止
Cloudflare CDN（`polyfill.io`の管理テナント）	実際に配信するJavaScriptコンテンツを管理	変更なし（停止されず）

2024年にNamecheapがclientHoldを適用してDNSを停止したことで、ブラウザがpolyfill.ioのIPアドレスを解決できなくなり、スクリプトの読み込みは事実上止まりました。しかしCloudflareのCDN管理テナント自体は停止されておらず、DPRK（北朝鮮）工作員が持つTier 4管理者権限はその後も有効であった可能性があります。

2026年5月22日にGoDaddyへのレジストラ移管によってDNSが復活すると、Cloudflare CDNが再び応答を始め、Tier 4管理者権限を保有するアクターが配信コンテンツを構成（BASIC認証要求）できる状態になったとすれば、第2波の発生経緯と矛盾しません。

ただし@awesome_kou氏が指摘するように「帰属（アトリビューション）は時間とともに更新される領域」であり、現時点では「Funnull/DPRK（北朝鮮）関連アクターによる継続」なのか「別の悪意あるアクターによる乗っ取り」なのか「善意の第三者による取得」なのか確定されていません。

前報のHudson Rockの調査はLummaC2感染によるDPRK（北朝鮮）工作員自身の端末から得られた法科学的証拠であり信頼性は高いですが、2026年5月の移管が同一工作員によるものかどうかは直接的な証拠がないという点は留保が必要です。

被害が確認された企業・サービス一覧

企業・サービス	影響発生期間	対応完了	主な告知内容
ARBAN（ジャズ音楽メディア）	5/30〜6/1	対応済み	polyfill.ioを削除済み
diskunion.net（音楽CD通販）	5/31夜〜6/1朝	対応済み	ID・PW入力者にパスワード変更を要請
ボートレース公式（メダルアワード特設ページ）	〜6/1	6/1 11:45	対象ページと時間帯を明示
FiNC U（健康情報メディア）	5/31夜〜6/1 15:00頃	対応済み	FiNC Uの一部ページに影響
無印良品（muji.com）	〜6/3	6/3 11:30	「発生していた可能性」との表現
象印マホービン（zojirushi.co.jp）	〜6/3	6/3 18:30	入力者への他サービスPW変更を要請
ウッドワン（woodone.co.jp）	不明	対応済み	「不審な認証画面の表示について」告知
ほぼ日（1101.com）	不明	対応済み	ヘルプセンターに告知掲載
メディウェル（エピロギ）（epilogi.dr-10.com）	不明	対応済み	notice/ページで告知
東芝（toshiba.co.jp）	不明	対応済み	6/4 ITmedia NEWSが告知を確認
野村不動産ソリューションズ（nomura-solutions.co.jp）	6/1昼頃〜同日夜	6/2告知・対策済み	「野村の仲介プラス」等の一部ページが対象。ID・PW入力者はパスワード変更を
ポケットカード（ファミマカード）（fcard.pocketcard.co.jp）	不明	6/3	「Web入会システムにおける不審な画面表示に関する注意喚起」掲載
シブヤ食品（宅亭のお弁当Web注文）（ss39t.com）	6/1	対策済み	告知に「Polyfill：すでに利用が停止されていたもの」と明記。Basic認証画面が発生
リクルートマネジメントソリューションズ	不明	対応済み	6/4 ITmedia NEWSが告知を確認
医歯薬出版（ishiyaku.co.jp）	不明	対応済み	6/4 ITmedia NEWSが告知を確認
三井アウトレットパーク（複数施設）	6/1頃	確認中	Twitter上で訪問者が報告
Samsung Smart TV（複数機種）	6/1以降	メーカー対応中	テレビ視聴中に認証ダイアログが表示

各社の発表のとおり、現時点でサイト自体への不正アクセスや個人情報の漏えいは確認されていません。

これはpolyfill.ioが「サイトを侵害した」のではなく、「サイトが読み込んでいた外部JavaScriptがBASIC認証要求を返した」というサプライチェーン攻撃の性質によるものです。

Samsung Smart TVへの意外な波及

今回の第2波で特に注目すべきはSamsung製スマートテレビへの影響です。6月1日以降、世界各地でSamsungのスマートテレビを視聴中に突然polyfill.ioのBASIC認証ダイアログが表示される事例が数千台規模で報告されました。テレビのSmartThings・アプリ機能・Webブラウザ系機能のファームウェアにpolyfill.ioへの参照が残存していたためです。

パソコン・スマートフォンだけでなくスマートテレビのファームウェアにも削除すべき参照が残り得るという事実は、IoTセキュリティの観点でも重要な教訓です。特にpolyfill.ioへの参照が製品のファームウェアにハードコードされている場合、Webサイト管理者と違って個々のユーザーが対処できないという問題があります。Samsungによるファームウェアアップデートでの対応が求められます。

Webサイト管理者が今すぐ行うべき確認と削除手順

polyfill.ioへの参照の残存確認が最優先です。

WordPressでpolyfill.ioが利用されているか確認する場合は、管理画面・データベース・サーバーファイル・公開ページの読み込み状況を確認してください。

まず「Search Regex」などのプラグインを利用し、投稿、固定ページ、カスタム投稿、ウィジェット、テーマ設定、プラグイン設定などに以下の文字列が含まれていないか検索してください。

polyfill.io
cdn.polyfill.io
polyfill.min.js
polyfill.js

次に、テーマやプラグインのファイル内に直接記載されている可能性があるため、サーバー上で以下のように全文検索してください。

grep -RIn “polyfill.io” /path/to/webroot

あわせて、ブラウザの開発者ツールやページソースで、実際の公開ページからpolyfill.io系の外部JavaScriptが読み込まれていないか確認してください。

polyfill.ioの読み込みが見つかった場合は、原則として削除を推奨します。

Polyfillの機能が必要な場合は、CloudflareやFastlyが提供する代替CDN、または自社管理のPolyfillに切り替えてください。現在はモダンブラウザが主流のため、多くの場合Polyfill自体が不要になっている可能性があります。

サイト訪問者が取るべき対応—入力した・しなかった場合別チェックリスト

今回の不審な認証画面を目にした方向けに、状況別の対応を整理します。

① 何も入力せずキャンセルまたは閉じた場合

認証情報の窃取は発生していません。ただし、polyfill.ioのサーバーに対してHTTPリクエスト自体は発生しており、アクセスしたIPアドレスやブラウザ情報が記録されている可能性があります。実害につながる情報の送信はありませんが、念のため以下を確認することを推奨します。アクセスしたサービス（無印良品・象印・ボートレース等）のマイページで不審なログイン履歴がないかを確認してください。

② ID・パスワードを入力してしまった場合

最優先で以下の対応を実施してください。

【即時対応】入力したサービスのパスワードを変更する：表示されていた認証画面はpolyfill.ioドメインへの認証要求であり、訪問していたサービス（無印良品・象印等）の公式ログインページではありません。ただし、入力してしまったID・パスワードの組み合わせが記録されている可能性があるため、入力した内容に近いパスワードをすべて変更してください。

【同一パスワードの使いまわし確認】：入力したパスワードを他のサービス（メール・SNS・ネットバンキング・ECサイト等）でも使用している場合は、それらすべてのパスワードを変更してください。同一パスワードをリスト型攻撃（クレデンシャルスタッフィング）で不正ログインに悪用される可能性があります。

【各サービスのログイン履歴を確認する】：Amazon・楽天・PayPay・LINE・各種SNS・オンラインバンキングなど、普段利用しているサービスのログイン履歴・アクティビティ履歴を確認し、身に覚えのないログインや設定変更がないかを確認してください。

【MFA（多要素認証）を有効化する】：まだ設定していない主要サービスでSMS・認証アプリ・セキュリティキーなどのMFAを設定することで、パスワードが漏えいしても不正ログインを防げます。

③ 表示された認証画面に入力したかどうか記憶がない場合

念のため②と同様の対応を取ることを推奨します。特に「何かしらのサービスに自動ログインされた」「登録したIDやメールアドレスで見覚えのないメールが届いた」といった事象があればパスワード変更を優先してください。

④ Samsung Smart TVに認証ダイアログが表示された場合

何も入力せずキャンセルを押してください。テレビの操作で文字入力が難しく、誤って何か入力してしまった場合はテレビに紐付いたSamsungアカウントのパスワードを変更することを推奨します。Samsungのサポートページでファームウェアアップデートを確認し、提供されていれば適用してください。

FAQ

Q. 2024年に収束した問題がなぜ2026年に再燃したのですか？ A. 2024年の対応はNamecheapによるDNS停止であり、ドメインの完全廃止ではありませんでした。2026年5月22日にGoDaddyへのレジストラ移管でドメインのDNSが復活し、polyfill.ioへの参照を削除していなかったサイトが影響を受けました。

Q. 今回の第2波も北朝鮮（DPRK）の関与が疑われますか？ A. 現時点で確定的な証拠はなく、帰属は不明です。ただし前報のHudson Rock調査はDPRK（北朝鮮）工作員がpolyfill.ioのCloudflare CDN管理者（Tier 4）の認証情報を保有していたことを法科学的に示しており、レジストラ（登録管理）とCDN（コンテンツ配信）が独立した系統であることを考慮すると、CDN管理者権限を持つ攻撃者がドメイン復活と同時にコンテンツ配信を再開した可能性はあります。帰属については今後の調査による更新が必要です。

Q. 無印良品や象印のサイトにアクセスし、認証画面を見ただけで情報が漏えいしましたか？ A. 各社の発表とおり、サイト自体への不正アクセスや個人情報の漏えいは確認されていません。認証ダイアログにID・パスワードを入力してしまった場合は速やかに同一パスワードを使いまわしているすべてのサービスで変更してください。

Q. Samsung Smart TVに認証ダイアログが表示されました。どう対処すればよいですか？ A. 何も入力せずキャンセルを押してください。Samsungのサポートサイトでファームウェアアップデートが提供されているか確認し、SmartHubのキャッシュリセットを試みてください。テレビのファームウェアはユーザーが独自に修正することが難しいため、メーカーの公式対応を待つことを推奨します。