ろぼいんブログ

一部サイトで「polyfill.ioにはユーザー名とパスワードが必要です」と出る原因と対処法 情報は入力しないで

polyfill.ioの認証画面が表示されているようすのスクリーンショット

一部のサイトでは現在、polyfill.ioのユーザー名とパスワードの入力を求める不審なダイアログが表示されるようになっています。

この画面が表示された場合、ユーザー名やパスワードは絶対に入力せずにWebサイトの運営者に問い合わせてください。

広告
目次

「polyfill.ioにはユーザー名とパスワードが必要です」と表示されたら入力しない

現在、一部のWebサイトを開いた際に次のようなダイアログが表示されるようになっています。なお、具体的な文言は使用しているブラウザーによって異なります。

  • https://polyfill.ioにはユーザー名とパスワードが必要です。
  • ログイン https://polyfill[.]io
  • https://polyfill.ioでは認証が必要となります
  • https://polyfill[.]io is requesting your username and password.
  • このサイトがログインすることを求めています。警告:あなたのログイン情報はpolyfill.ioと共有されます。この共有は現在訪れているウェブサイトだけとは限りません。
polyfill.ioの認証画面が表示されているようすのスクリーンショット
Webサイトに表示されているダイアログの例

このようなpolyfill.ioのダイアログはWebサイトが用意している正規のログイン画面ではないため、決して個人情報やパスワードなどを入力しないでください

また、現在はダイアログが表示されているだけですが将来的に悪意のあるコードが挿入される可能性もあるため、修正されるまでそのWebサイトへのアクセスを控えるとともに、Webサイトの運営者に問い合わせることを強くオススメします。

これらのダイアログは、ブラウザーが表示しているHTTP認証(いわゆるベーシック認証)の画面です。

一部の古いWebサイトでは依然としてベーシック認証を利用していることもありますが、現代のほとんどのWebサイトはベーシック認証の代わりにWebサイト独自のログイン画面を使用しています。

広告

今回一部のWebサイトで表示されるようになっているpolyfill.ioは、2024年に大規模なサプライチェーン攻撃(サイバー攻撃)に利用されたもので、polyfill.ioを削除していないサイトに今回のようなダイアログが表示されるようになっています。

筆者が確認した範囲では、三井ショッピングパーク系列の各施設のWebサイトとオートバックス公式通販サイトでこのダイアログが表示されていました。

また、音声合成ソフト「VoiSona」のWebサイトでもダイアログが表示されていたようです。

いずれのWebサイトも現在は修正済みですが、ほかにも多くのWebサイトで表示されており、修正されていないWebサイトもあります。

原因のpolyfill.ioは過去にサプライチェーン攻撃も

今回のようなダイアログが表示されている原因は、開いたWebサイトが外部スクリプトとしてpolyfill.ioを読み込んでいることです。

広告

場合によって多少異なることがありますが、WebサイトのHTMLに次のようなコードが残っているとページを開いたユーザーのブラウザーがpolyfill.ioにアクセスします。

<script src="https://cdn.polyfill.io/v3/polyfill.min.js"></script>

polyfill.ioは、古いブラウザーでも最新の機能を使えるようにするための「ポリフィル」を提供していましたが、2024年に中国企業に買収されマルウェア化し、大規模なサプライチェーン攻撃(サイバー攻撃)に利用された過去があります。

Funnullが公開した声明のスクリーンショット
Polyfill.ioが中国企業に売却 背景と対応策は?
Web開発者たちにとって、ブラウザー間の互換性問題は長年にわたり頭痛の種となっています。そんな中、Polyfill.ioは多くの開発者にとって救世主のような存在でした。しかし、この度Polyfill.ioは中国の企業Funnullに売却されたことが明らかになり、開発コミュニティーに波紋を広げています。この記事では、Polyfill.ioの売却について、またWeb開発者が取るべき対策について詳しく解説します。

2024年6月25日、polyfill.ioの新しい中国系のオーナーがソースコードを変更し、polyfill.ioを読み込んでいるWebサイトを通じて世界中のモバイル端末にマルウェアを注入しました。

このマルウェアは検知されにくいように構築されており、被害に遭った一部のユーザーを詐欺サイトにリダイレクトしていたとされています。

CDNサービスを提供するAkamaiのレポートによれば2024年当時、polyfill.ioを読み込んでいた10万件以上のWebサイトがサプライチェーン攻撃にさらされたとのことです。

広告

CDNを提供する別の企業のCloudflareによると、この攻撃は2024年6月8日から始まり、同年6月27日にCloudflareとNamecheapがドメインに介入・無効化したことで収束しました。

ところが筆者が確認したところ、日本時間2026年5月22日に当該ドメインが登録日を保ったままNamecheapからGoDaddyへ移管されており、polyfill.ioが復活した可能性があります。

`whois polyfill.io`の実行結果のスクリーンショット
polyfill.ioのドメインの登録情報。2026年5月21日(日本時間では22日)に登録情報が更新されており、GoDaddyがレジストラーになっていることがわかる

Wayback Machineのアーカイブは、少なくとも5月23日から5月30日にわたってpolyfill.ioのWebサイトが復活していたことを示しており、差し止められたはずのpolyfill.ioのドメインがもとの所有者の手に戻った可能性があります。

なお、polyfill.ioのドメイン所有者の情報は非公開になっており、厳密にはサプライチェーン攻撃を実施していた攻撃者のもとにドメインが戻ったのか、ほかの悪意のある攻撃者の手にわたったのか、あるいは“善意の”第三者が取得したのかは不明です。

一般ユーザーにできることは?パスワードを入力してしまった場合は?

polyfill.ioのログイン画面が表示された場合は、決してパスワードや個人情報を入力せず、ページの利用を中止してください。

また、Webサイトの運営者に問い合わせるとともに、修正されるまでそのWebサイトへのアクセスを控えることを強くオススメします。

もしパスワードなどの情報を入力してしまった場合は、念のためパスワードを変更しておくとよいでしょう。

サイト運営者の対策は?削除して終わりではない

あなたがWebサイトの運営者であなたのWebサイトにpolyfill.ioのダイアログが表示されている場合は、すぐにpolyfill.ioの読み込みを削除してください。

ソースコード内で次のような文字列を検索するとよいでしょう。

  • polyfill.io
  • cdn.polyfill.io
  • polyfill.min.js

個人情報や機密情報が漏洩するリスクがあるため、すぐに削除できない場合はWebサイトを一時的に非公開にすることも検討するべきです。

polyfill.ioは古いブラウザーでも最新の機能を使えるようにするためのものなので、polyfill.ioを削除することで一部の古いブラウザーでWebサイトを閲覧できなくなる可能性があることに注意してください。

しかし、そもそも現在のpolyfill.ioはポリフィルとしての機能を果たしておらず、polyfill.ioの削除で動かなくなるような環境では現在も動かない状態でしょうから、削除したとしてもほとんど問題は生じないと考えます。

どうしてもポリフィルが必要な場合は、Cloudflareのミラーなどの信頼できる配信元に置き換えてください。

<!-- 削除対象の例 -->
<script src="https://cdn.polyfill.io/v3/polyfill.min.js"></script>
<!-- 置き換え先の例 -->
<script src="https://cdnjs.cloudflare.com/polyfill/v3/polyfill.min.js"></script>

また、polyfill.ioを削除したり置き換えたりしただけでは不十分であることに留意してください。

第一に、2024年にWebサイトの訪問者の一部を詐欺サイトに転送していた可能性があり、第二に今回のダイアログで個人情報や機密情報が漏洩した可能性があります。

2024年当時、polyfill.ioの問題はWeb業界でかなり大きく報じられていたことから、マルウェア化したあとに新規でWebサイトにpolyfill.ioを導入した可能性は低いと考えます。

そのため、今回影響を受けているWebサイトのほとんどは2024年以前からpolyfill.ioを読み込んでいた可能性が高く、2024年のサプライチェーン攻撃の際には訪問者の一部を詐欺サイトに転送していた可能性があります。

さらに、今回表示されているダイアログに顧客が個人情報やパスワードなどを入力してしまっている可能性があり、その場合はあなたのWebサイトに起因して顧客の個人情報が漏洩した可能性があります。

polyfill.ioをすぐに削除できない場合はWebサイトを非公開にするべき、と説明したのはこれが理由です。

しかも、通常のアクセス解析では顧客がダイアログに情報を入力したかどうか判断できません。

入力した情報をpolyfill.io側が収集しているかはわかりませんが、収集していないという証拠もないため、入力した情報は漏洩しているものとして考えるべきでしょう。

したがって、polyfill.ioを削除するだけでなく情報漏洩案件として何らかの対応が必要になる場合があります。

加えて、polyfill.ioを2年近くにわたって放置していたようなWebサイトには、ほかにも脆弱性(セキュリティの問題)が存在している可能性があり、Webサイトの管理体制に問題があると考えます。

Webサイトのほかの箇所も併せて点検することを強くオススメします。

まとめ

polyfill.ioのユーザー名とパスワードの入力を求めるダイアログが表示されたら、決して情報を入力せずにWebサイトの運営者に問い合わせてください。

このダイアログが表示される原因は、polyfill.ioを読み込んでいることです。

polyfill.ioは過去にサイバー攻撃に使われており差し止められていましたが、5月下旬に復活した可能性があります。

自身のWebサイトにダイアログが表示されている場合は、polyfill.ioをすぐに削除してサイト全体を点検するとともに、影響範囲の調査と情報漏洩としての対応が必要です。

この記事の検証内容と情報源

検証環境

PC

  • OS:Windows 11
  • ブラウザー:Zen Browser v1.20.2bおよびChrome v149.0.7827.103

スマホ

  • OS:Android 17
  • デバイス:Google Pixel 8
  • ブラウザー:Android版Firefox Nighlyバージョン153.0a1、Android版Chromeバージョン149.0.7827.59およびAndroid版Edge Canaryバージョン151.0.4083.0

検証内容

影響を受けているWebサイトでpolyfill.ioの認証画面が表示されることと、polyfill.ioに直接アクセスした際に同様の認証画面が表示されることを確認。また、2026年5月21日にpolyfill.ioのドメイン登録情報が更新されており、少なくとも5月23日から5月30日にわたってpolyfill.ioのWebサイトが復活していたことを確認

最終検証日

更新履歴

  • 2026年6月2日:初版公開
  • 2026年6月10日:検証環境を追記

参考リンク

記事をシェア

Xに共有するBlueskyに共有するMisskeyに共有するLINEに共有するThreadsに共有する

フォローして最新情報を入手

Googleの優先ソースに追加すると、このサイトの記事をGoogleで見つけやすくなります。また、ぜひXやRSSフィードもフォローしてください。

Googleの優先ソースとして追加するGoogleの優先ソースとして追加するXのロゴ
著者のアイコン画像

生まれた時から、母国語よりも先にJavaScriptを使っていました。ネットの海のどこにもいなくてどこにでもいます。

Webフロントエンドプログラマーとして、TypeScriptを用いたWebアプリやブラウザー拡張機能を制作。Xのシャドウバン検知ツール「Shadowban Scanner」やリンクカード復活ツール「Restore Link Card」を公開し、国内外のメディアで紹介されました。iGEM 2023ではJapan-UnitedチームのWikiを制作してGrand Prizeの獲得に貢献。ブログではXやSNSの最新ニュース、不具合の検証と対処法、フロントエンド開発の知見を発信しています。