Last Updated on 2024-06-26 20:17 by 荒木 啓介
Googleは、Polyfill.ioサービスを使用するeコマースサイトの広告をブロックする措置を講じました。これは、中国の企業がドメインを取得し、JavaScriptライブラリ「polyfill.js」を改変して、ユーザーを悪意のあるサイトや詐欺サイトにリダイレクトするようにしたためです。このサプライチェーン攻撃の影響を受けるサイトは11万を超えます。Polyfillは、ウェブブラウザでの現代的な機能のサポートを組み込むための人気ライブラリです。この問題は、中国のCDN企業Funnullによってドメインが購入された後、今年の2月に懸念が提起されました。プロジェクトの元の作成者であるAndrew Bettsは、ウェブサイト所有者に対し、直ちにPolyfill.ioを削除するよう促しました。CloudflareとFastlyといったウェブインフラ提供者は、ユーザーがPolyfill.ioから離れるための代替エンドポイントを提供し始めました。
オランダのeコマースセキュリティ会社Sansecによると、「cdn.polyfill[.]io」ドメインは、スポーツベッティングサイトやポルノサイトへのリダイレクトを引き起こすマルウェアを注入していることが判明しました。このコードはリバースエンジニアリングに対する特定の保護を持ち、特定のモバイルデバイスでのみ、特定の時間にのみ活性化します。また、管理ユーザーを検出すると活性化しないようになっており、ウェブ分析サービスが見つかると実行を遅延させます。サンフランシスコに拠点を置くc/sideも、ドメイン管理者が2024年3月7日から8日の間に自社サイトにCloudflare Security Protectionヘッダーを追加したことを警告しています。
さらに、Adobe CommerceとMagentoウェブサイトに影響を与える重大なセキュリティ欠陥(CVE-2024-34102、CVSSスコア:9.8)が、修正が2024年6月11日に利用可能になって以降も広く未修正のままであることが続いています。この欠陥は、プライベートファイルを読み取ることを可能にしますが、最近のLinuxのiconvバグと組み合わせることで、リモートコード実行のセキュリティ上の悪夢に変わります。第三者がLinuxのiconv問題(CVE-2024-2961)に影響されないAPI管理アクセスを取得できることが明らかになり、さらに深刻な問題となっています。
【ニュース解説】
最近、110,000以上のウェブサイトが、Polyfill.ioサービスを悪用したサプライチェーン攻撃の影響を受けました。この攻撃は、中国のCDN企業FunnullがPolyfill.ioのドメインを取得し、JavaScriptライブラリ「polyfill.js」を改変して、ユーザーを悪意のあるサイトや詐欺サイトにリダイレクトすることによって発生しました。この事態を受けて、GoogleはPolyfill.ioサービスを使用するeコマースサイトの広告をブロックする措置を講じました。
Polyfill.ioは、ウェブブラウザでの現代的な機能のサポートを組み込むために広く使用されているライブラリです。しかし、このドメインの買収と改変により、多くのウェブサイトが無意識のうちにリスクにさらされることになりました。特に、攻撃コードはリバースエンジニアリングに対する保護を持ち、特定の条件下でのみ活性化するため、発見が困難でした。
この事件は、サプライチェーン攻撃のリスクと、外部のライブラリやサービスに依存する際の潜在的な危険性を浮き彫りにします。サプライチェーン攻撃は、攻撃者が製品やサービスの供給過程に介入し、最終的なユーザーに損害を与える攻撃手法です。この種の攻撃は、一つの脆弱性が多数のユーザーに影響を及ぼすため、特に危険です。
この事件のポジティブな側面としては、CloudflareやFastlyといったウェブインフラ提供者が代替エンドポイントを提供し始めたことで、ユーザーが安全な方法でサービスから離れる手助けをした点が挙げられます。しかし、この事件は、ウェブサイトの所有者が使用する外部サービスを定期的に監査し、セキュリティ対策を講じることの重要性を改めて強調しています。
長期的な視点で見ると、このようなサプライチェーン攻撃は、ウェブセキュリティの規制や基準を強化する動きを加速させる可能性があります。また、ウェブサイトの所有者や開発者は、外部ライブラリやサービスの安全性を確保するために、より厳格なセキュリティ対策を講じるようになるでしょう。この事件は、ウェブセキュリティの脅威が常に進化していることを示し、ウェブコミュニティ全体が警戒を怠らず、セキュリティ対策を継続的に更新し続ける必要があることを教えています。
from Over 110,000 Websites Affected by Hijacked Polyfill Supply Chain Attack.
