Polyfill[.]ioのJavaScriptライブラリを狙ったサプライチェーン攻撃が、以前考えられていたよりも広範囲に及んでいることが明らかになった。Censysの新たな調査によると、2024年7月2日時点で38万以上のホストが、悪意のあるドメインへリンクするpolyfillスクリプトを埋め込んでいる。これには「https://cdn.polyfill[.]io」または「https://cdn.polyfill[.]com」への参照が含まれている。約237,700のホストがドイツにあるHetznerネットワーク内に位置している。
この攻撃の詳細は2024年6月下旬にSansecが報告し、Polyfillドメイン上のコードが成人向けおよびギャンブル関連のウェブサイトへのリダイレクトを行うように変更されていたことが判明した。この変更は、特定の時間帯に、特定の条件を満たす訪問者に対してのみリダイレクションが行われるように設定されていた。この不正な挙動は、ドメインとそれに関連するGitHubリポジトリが2024年2月にFunnullという中国企業に売却された後に導入された。
この事態を受けて、ドメインレジストラのNamecheapは当該ドメインを停止し、Cloudflareなどのコンテンツ配信ネットワークはPolyfillのリンクを安全なミラーサイトへのドメインに自動的に置き換え、Googleは当該ドメインを埋め込むサイトの広告をブロックした。運営者はpolyfill[.]comという異なるドメイン名でサービスの再開を試みたが、これも2024年6月28日にNamecheapによって取り下げられた。7月初旬以降に登録された他の2つのドメイン、polyfill[.]siteとpolyfillcache[.]comのうち、後者は現在も稼働中である。
さらに、Polyfillの維持者に関連する可能性のあるより広範なネットワークのドメインが発見され、その中にはbootcdn[.]net、bootcss[.]com、staticfile[.]net、staticfile[.]org、unionadjs[.]com、xhsbpza[.]com、union.macoms[.]la、newcrbpc[.]comが含まれている。これらのドメインの1つ、bootcss[.]comは、polyfill[.]io攻撃と非常に類似した悪意のある活動に従事していることが確認され、160万以上の公開ホストがこれらの疑わしいドメインにリンクしていることが明らかになった。
WordPressのセキュリティ企業Patchstackは、このPolyfillサプライチェーン攻撃が、悪意のあるドメインにリンクする数十の正規プラグインを介してCMSを実行するサイトに連鎖的なリスクをもたらす可能性があると警告している。
【ニュース解説】
Polyfill[.]ioのJavaScriptライブラリを対象としたサプライチェーン攻撃が、当初考えられていたよりもはるかに広範囲にわたっていることが新たな調査で明らかになりました。この攻撃は、38万以上のホストが影響を受けており、その中には大手企業も含まれています。これらのホストは、悪意のあるドメインへリンクするpolyfillスクリプトを埋め込んでおり、「https://cdn.polyfill[.]io」または「https://cdn.polyfill[.]com」への参照がHTTPレスポンス内で確認されています。
この攻撃の背景には、Polyfillドメイン上のコードが変更され、特定の条件を満たす訪問者を成人向けおよびギャンブル関連のウェブサイトへリダイレクトするようになった事実があります。この変更は、ドメインとそれに関連するGitHubリポジトリが中国企業に売却された後に行われました。
この問題に対処するため、ドメインレジストラのNamecheapは当該ドメインを停止し、Cloudflareなどのコンテンツ配信ネットワークはPolyfillのリンクを安全なミラーサイトへのドメインに自動的に置き換えました。Googleは当該ドメインを埋め込むサイトの広告をブロックする措置を取りました。
さらに、Polyfillの維持者に関連する可能性のあるより広範なネットワークのドメインが発見され、これらのドメインが将来的に同様の攻撃に利用される可能性が指摘されています。このような攻撃は、Webサイトの信頼性を損ない、訪問者を不適切なコンテンツに誘導するリスクを持ちます。
この攻撃は、Web開発者やサイト運営者にとって、使用する外部リソースの安全性を確認する重要性を改めて示しています。また、サプライチェーン攻撃がいかに巧妙で、広範囲にわたる可能性があるかを浮き彫りにしています。このような攻撃は、単一の脆弱性を突くだけでなく、多くのサイトやユーザーに影響を及ぼすため、その対策はより複雑で総合的なアプローチが求められます。
長期的な視点では、この事件はWebサービスのセキュリティ対策の強化、特にサプライチェーンのセキュリティ管理の重要性を再認識させる契機となるでしょう。また、サードパーティ製のコンポーネントやライブラリを使用する際のリスク評価と監視体制の構築が、今後ますます重要になってくることが予想されます。
from Polyfill[.]io Attack Impacts Over 380,000 Hosts, Including Major Companies.
