最近WEBサイト制作界隈の中でセキュリティに関するニュースが話題になっています。
古くから使われてきたJavaScriptライブラリである『Polyfill.io』がマルウェアに改変され、気づかぬうちに自身のサイトが有害サイトへの入り口となってしまうという事件が発生しました。
今回はこの事件について触れていきたいと思います。
JavaScriptライブラリ『Polyfill.io』とは
まずは今回問題の中心となっているJavaScriptライブラリ『Polyfill.io』について、軽く説明しておこうと思います。
WEBブラウザ混沌時代
数年前、まだInternet Explorer(以下IE)が生き残っていた時代、WEBサイトは大きく分けてGoogle ChromeやSafari、Microsoft EdgeのようなモダンブラウザとIEのような旧来からあるレガシーブラウザの2種類のブラウザで稼働する必要がありました。
これが非常に厄介で、モダンブラウザでは問題なく動作するJavaScriptのプログラムでも、IEなどのレガシーブラウザでは動作しないという状態が当たり前にありました。
もしこの問題を素直に解決しようとする、モダンブラウザ用のプログラムとレガシーブラウザ用のプログラムに分けてプログラミングをする必要がありました。
『Polyfill.io』の登場
そこで登場するのが今回の『Polyfill.io』です。
『Polyfill.io』を導入したWEBサイトでは、一つのプログラムでモダンブラウザとレガシーブラウザのどちらにも対応できるようなります。
これによりWEBサイト制作者としては格段に制作効率をアップすることができました。
なんで『Polyfill.io』が危険になっちゃったの?
混沌とした時代にもフィットした『Polyfill.io』は世界中で多くのWEBサイト制作者に愛され、WEBサイト制作の標準機能のように導入されていました。
そんな人気ライブラリであった『Polyfill.io』がどうして害悪サイトへ誘導する危険な存在となってしまったのでしょうか。
事の発端は中国企業による買収
『Polyfill.io』は元々個人開発者によって開発され、誰でも活用できるようオープンソースとして無料で公開されていました。
メンテナンス自体はチームで行っていたとは思いますが、プロジェクト規模の拡大に伴って維持管理のコストが手に負えなくなっていました。
そこで交渉の末、2024年2月24日、中国企業のFunnullという会社が『Polyfill.io』を買収し、管理を引き継いで行うこととなりました。
その後今回の問題が発生しています。
『Polyfill.io』の改変がFunnull社によって行われたのか、あるいは第三者による攻撃により行われたのかは明確になっていませんが、管理体制が変わったことで今回の問題につながったことは間違いありません。
『Polyfill.io』を使っているとどう危ないの?
今回の問題で危険な状態になってしまっているサイトは、CDNを活用して『Polyfill.io』を導入しているケースです。
CDNサーバ上にある『Polyfill.io』をサイトに利用している場合、その『Polyfill.io』は既に危険なプログラムに改変されてしまっている可能性があります。
あなたのWEBサイトへ訪れたユーザーは、改変された『Polyfill.io』により有害サイトへリダイレクトされてしまい、意図せずに被害を受けてしまう可能性がある状態になります。
今回はCDNサーバ上の『Polyfill.io』が改変されているだけなので、改変前のプログラムファイルをダウンロードして、自分のサーバ上にアップロードして使っている場合は問題ありません。
対応方法
サイト管理者やサイト制作者はどういう対応方法を取ればいいかを考えていきます。
対応方法1:『Polyfill.io』の利用をやめる
先ほど説明した通り、『Polyfill.io』はそもそもJavaScriptプログラムをレガシーブラウザにも対応するためのライブラリです。
現在は基本的にIEを利用するユーザは、ほぼ絶滅しているはずなので、レガシーブラウザに対応する必要がなくなっています。
そのため『Polyfill.io』自体の存在意義が既になくなっているため、これを機に、『Polyfill.io』の利用をやめるのが一番いいと思います。
対応方法2:安全なCDNサーバを活用する
とはいえ、やむを得ない理由でIEに対応しなければならないという環境も0.1%いるかも知れません。
そういう場合は、Cloudflareのような安全なCDNサーバを活用することをおすすめします。
Cloudflareは、今回の問題が発生したことを受け、いち早く安全な『Poylfill.io』を公開する動きを取っています。
どうしても『Polyfill.io』の使用が必要な場合は、CloudflareのCDNへと切り替えましょう。
今だからこそ見直すべきセキュリティ対策の重要性
今回の件や、今ニュースにもなっているニコニコ動画やJAXAなどのセキュリティ問題もあり、安全なWEB運用をしていくにあたって、セキュリティ対策の重要性を再度見直す必要があると思います。
コーポレートサイトやECサイトなど、事業の取り組みの中で制作することを重要視し、保守や運用、セキュリティのことなどにはあまり予算を割くことを考えない方が多くいます。
大きな被害を受けてから初めて重要性を考え出すのでは、手遅れになるケースが多いため、事業の成功のためにも予め保守やセキュリティ対策もWEBサイト運用の必要経費として、ある程度予算を確保しておくのが良いでしょう。
WEBサイト制作・保守・セキュリティ対策お任せください
株式会社Neightbor.は、WordPressを活用した自社運用可能なコーポレートサイト制作やShopifyを活用したECサイト制作など、各クライアント様の要望に適したWEBサイト制作の提案をさせて頂きます。
また、『作る』だけではなく、安全なサイト運用を行えるよう保守運用、セキュリティ対策も行っておりますので、お気軽にご相談ください。