サイバーニュース.jp

世界のサイバーなニュースを配信

PyPIメンテナーを狙う新たなフィッシング詐欺、ログイン情報窃取を目的

カテゴリ:

, , , , , , , , ,

Pythonコミュニティで、PyPIメンテナーを標的としたドメイン混同型フィッシングメールの新たな波が押し寄せています。悪意のある攻撃者はドメイン名を継続的に変更しており、PyPIユーザーは警戒を怠らず、アカウント保護のためのより強力な対策を講じる必要があります。

今回の手口では、メンテナーは「アカウントのメンテナンスとセキュリティ手順」を装い、「メールアドレスの確認」を促す不審なメールを受け取ります。このメッセージは、従わない場合アカウントが停止されると警告し、受信者をPyPI公式レジストリとは無関係なサイト「pypi-mirror.org」へ誘導するリンクをクリックさせようとします。このメールは、正規のPyPI通知と酷似したブランディング、レイアウト、トーンを使用しています。

このキャンペーンは、2025年7月に発覚した手口を模倣していますが、オープンソース貢献者からログイン情報を騙し取るために異なる偽装ドメインを使用しています。詐欺ページにアクセスすると、不審に思わないメンテナーはユーザー名とパスワードの入力を求められます。窃取された認証情報は攻撃者に送られ、機密性の高いパッケージメタデータへのアクセスや、人気ライブラリの悪意のあるバージョンの公開を可能にする可能性があります。この手口は、おなじみのインターフェースに対する人間の信頼を利用し、類似したアドレスを登録することで単純なドメインフィルターを回避します。

PyPIはドメインレジストラと協力してpypi-mirror.orgを閉鎖することに成功しましたが、根本的な手口は依然として存在します。新しいドメインは数分で立ち上げられ、このサイクルが繰り返されるため、より堅牢な防御策が採用されるまで、すべてのメンテナーが危険にさらされます。

**PyPIの防御策**
PyPIのセキュリティチームは、このキャンペーンを阻止するために複数の対策を講じています。まず、悪意のあるドメインをホストしているレジストラとコンテンツデリバリーネットワークに通知し、問題のあるアドレスを無効にするよう要請しました。次に、各フィッシングURLは業界全体の脅威インテリジェンスフィードとブラウザベースのブロックリストに提出され、ユーザーが警告画面に遭遇してから先に進むようにしています。並行して、PyPIは他のオープンソースパッケージエコシステムのメンテナーと協力し、迅速なドメインテイクダウン要求に関するベストプラクティスを共有しています。この共同対応は、ドメイン登録からテイクダウンまでの露出期間を短縮することを目的としています。

さらに、PyPIチームは既存の二要素認証(2FA)フレームワークの強化を評価しています。TOTPベースの2FAは依然として貴重な防御層ですが、リアルタイムのフィッシングに対する限界を認識し、フィッシング耐性のある認証を提供するためにハードウェアセキュリティキーの統合を検討しています。

これらの措置にもかかわらず、PyPIはメンテナーの参加なしには完璧な解決策はないと強調しています。プラットフォームはフィッシングの傾向を監視し、検出ヒューリスティックを改良し、新たな脅威についてユーザーを教育し続けています。

**メンテナーのためのベストプラクティス**
メンテナーは、厳格な運用習慣を採用することで、フィッシングキャンペーンの効果を大幅に低減できます。まず、不審なメールのリンクは絶対にクリックせず、代わりに直接pypi.orgにアクセスしてアカウント通知を確認してください。正確なドメインに基づいて認証情報を厳密に自動入力するパスワードマネージャーを使用することも、強力な防御策です。通常認証情報を求めるページで自動入力が機能しない場合は、それを即座に危険信号と見なしてください。

FIDO2に準拠したハードウェアトークンなど、フィッシング耐性のある2FA方法への移行は、リアルタイムの認証情報窃盗犯が容易に回避できない追加の障壁となります。TOTPアプリに依然として依存している個人は、不審なメールを受け取った後、アカウント設定で最近のセキュリティ履歴を確認することで、不正なログイン試行や認証情報の変更を明らかにできます。疑わしい場合は、メールによって引き起こされる行動を起こす前に、同僚やセキュリティチャネルに相談してください。不審なメールを同僚と共有することは、セカンドオピニョンを得るだけでなく、コミュニティ内での意識向上にも役立ちます。最後に、メンテナーは開発者フォーラム、メーリングリスト、ソーシャルメディアを通じて警告を広め、できるだけ多くの貢献者に注意を促すべきです。

オープンソースが重要なインフラの柱である限り、フィッシングキャンペーンは存続します。集団的な警戒と迅速な情報共有が、私たちの最も効果的な防御策です。もし標的になった、または悪意のあるリンクをクリックしたと思われる場合は、直ちにPyPIのパスワードを変更し、アカウントのセキュリティ履歴を調べて異常がないか確認してください。

元記事: [https://gbhackers.com/new-phishing-scam-pypi-maintainers-to-steal-login-information/](https://gbhackers.com/new-phishing-scam-pypi-maintainers-to-steal-login-information/)

投稿をさらに読み込む