5月末から6月初頭にかけて、無印良品・東芝・リクルートMS・医歯薬出版のウェブサイトで、見覚えのない認証画面が表示される事象が相次いで確認されました。各社はすでに対応を終えていますが、その画面に何かを入力したかどうかで、今すべき行動がまったく変わります。

入力していないなら、今すぐ全サービスのパスワードを総入れ替えする必要はありません。入力した可能性があるなら、そのサイトだけでなく、同じID・パスワードを他サービスで使い回している場合はそちらも変更対象になります。

🖥️ どのサイトで、いつ、何が表示されたか

各社の公式告知を見ると、発生期間と対応日はページごとに分かれています。

無印良品は一部ページで不審な認証画面が表示される可能性を確認し、2026年6月3日11時30分に対応完了を告知しました。東芝は2026年6月2日に不審なサインイン画面を確認し、6月4日に対応完了を追記しています。リクルートMS(SPIお客様登録フォーム)は2026年5月30日頃から6月2日夜にかけて、医歯薬出版の「創業100周年」ページは5月31日朝から同日15時ごろにかけて、それぞれ不審な認証画面が表示されたとしています。

いずれも、外部スクリプト配信サービス polyfill.io を経由した事象として説明されています。対応済みとはいえ、5月末から6月初頭に該当サイトを使った人は、自分が何を操作したか振り返る価値があります。

🔍 polyfill.ioとは、2024年から問題視されていた背景

polyfill.io は、古いブラウザでも新しいJavaScriptの機能を使えるようにするための補助スクリプトを配信するサービスです。ウェブサイトがこのサービスを参照していると、配信元が悪意あるコードを差し込んだ場合に訪問者のブラウザで実行されます。サイト側が配信内容の変化に気づくまで、利用者には見慣れない画面だけが見える構造です。

2024年6月、セキュリティ調査会社Sansecが10万件超のサイトに影響するサプライチェーン攻撃への悪用を報告しました。Cloudflareも同月、polyfill.ioへのリンクを安全な代替サービスに自動で置き換える対応を取っています。今回の国内サイトでの事象は2026年5月末からの発生ですが、サービスの危険性は2024年の段階から専門家に指摘されていました。

正直、これほど広く問題が知られてから2年以上経過した2026年に、複数の国内サービスが同じ外部スクリプトを参照し続けていたのは驚きです。ライブラリの棚卸しが追いついていなかったということで、今回の事象はそこに起因しています。

✅ 入力したかどうかで対応は二分される

各社の告知が共通して求めているのは、「不審な認証画面にユーザー名・パスワードを入力してしまった場合、同じ認証情報を使っているサービスすべてでパスワードを変更してほしい」ということです。

表示されても入力しなかった場合は、今すぐ変更する必要はありません。ただし、該当期間にサイトを閲覧していて、ログインを促す画面が出たことに気づいていない可能性もゼロではありません。5月末から6月初頭に該当サイトを使った記憶があるなら、ブラウザの履歴を確認しておくと、入力済みかどうかの判断材料になります。

入力した可能性があるなら、変更対象はそのサイト1か所ではありません。同じパスワードを使い回しているすべてのサービスで変更が必要になります。パスワード管理アプリを使っていない場合、どこで同じパスワードを使っているかを把握しづらい場面もあります。パスワードマネージャーを導入すると、今後の使い回し自体を防ぐ手段になります。

⚠️ 「不正アクセス確認なし」と「入力した情報のリスク」は別の問題

各社の告知には「現時点で不正アクセスや情報漏えいは確認していない」という記述があります。この表現が指すのは、サイト側のデータベースやシステムへの直接の侵害が見つかっていない、ということです。

偽の認証画面に自分で入力したID・パスワードがどこかに送信されたかどうかは、サイト運営側には追跡する手段がありません。「漏えい確認なし」という公式表明は、利用者が自分で入力した情報の行方には触れていません。

公式が安全を確認していても、自分が入力した認証情報の使い回しリスクはそのまま残ります。サイト側の問題が片付いても、利用者側のパスワード管理は別の確認として残ります。セキュリティ告知でここが混ざると、読者側の次の行動がぼやけるんですよね。

出典