polyfill.ioを読み込むとダイアログが表示される
2024年、広く使われていたJavaScriptのポリフィル提供サービス「polyfill.io」のドメインが中国の業者に買収され、悪意のあるスクリプト(マルウェア)を配信するよう変更されたことが大きな問題となりました。
2026年6月2日からpolyfill.ioを読み込むと不審なダイアログが表示されるようになったため、再度話題になりました。
現時点では無印良品や象印などの大手企業の大半は対策済みですが、セキュリティ意識の低い企業では現在も対策されていません。
WordPressサイトなどにこのコードが残っていると、訪問者が詐欺サイトにリダイレクトされるなどのリスクがあるため、Webサイト内にpolyfill.ioが含まれていないか早急に調べることを推奨します。
polyfill.ioが含まれるか調べる方法
WordPressで記事内にpolyfill.ioが含まれているか調べるには「Search Regex」というプラグインをインストールして、以下の正規表現で検索します。
ファイルもこちらの正規表現で全文検索してください。
polyfill\.(io|min\.js)
検出された場合はCloudflareの安全なpolyfill.min.jsのURLに置換すれば、polyfillの機能を維持したままダイアログが表示されなくなります。
https://cdnjs.cloudflare.com/polyfill/v3/polyfill.min.jsWordPressの記事内にpolyfill.ioのURLが記載されている場合は、被害を増やさないためにもCloudflareの安全なpolyfill.min.jsのURLの内容に変更することを推奨します。
