いつもTCDのサービスをご利用いただき、ありがとうございます。
次のような件名のメールがGoogleから届いたと、弊社にお問い合わせをいただいております。
[セキュリティ通知]: Polyfill.io に関する事象(Google Maps Platform ユーザー対象)
[Security Alert]: Polyfill.io Issue for Google Maps Platform users
[Security Alert]: Polyfill.io Issue for Google Maps Platform users
こちらは、JSライブラリ「Polyfill.io」がマルウェアに改変されたことで、それらを利用している(していた)サイトに届く注意喚起のメールです。件名には「Google Maps Platform」と記載されていますが、Google Mapsと直接的には無関係と思われます。
弊社テーマには「Polyfill.io」は含まれておらず、「攻撃を受けたプラグインを利用していること」が原因の可能性があります。
次の記事によると、同時期にサプライチェーン攻撃を受けたプラグインに影響が出ているようです。該当するプラグインをご利用中の方は、早急に最新版にアップデートいただくことを推奨いたします。
侵害されたWordPressプラグインおよびバージョンは次のとおり。
- BLAZE Retail Widget 2.2.5から2.5.2までのバージョン
- Contact Form 7 Multi-Step Addon 1.0.4または1.0.5
- Simply Show Hooks 1.2.1または1.2.2
- Social Sharing Plugin Social Warfare 4.4.6.4から4.4.7.1までのバージョン
- Wrapper Link Elementor 1.0.2または1.0.3
・JSライブラリ「Polyfill.io」がマルウェアに改変、10万サイト以上に影響
https://news.mynavi.jp/techplus/article/20240628-2974852/
・あなたのサイトは大丈夫?JSライブラリ『Polyfill.io』が有害サイトへの誘導を行うマルウェアに…
https://neightbor.jp/blog/js-polyfill-io
