概要

Python Package Index (PyPI) は、新たなフィッシング攻撃の波を受け、ユーザーに対し資格情報のリセットを強く推奨しています。この警告は、偽のPyPIウェブサイトを利用した攻撃者が、開発者のアカウント情報を盗み出そうとしていることを受けて発せられました。

攻撃の手口

Python Software Foundationの開発者Seth Larson氏によると、フィッシングメールは「アカウントのメンテナンスとセキュリティ手順」のために「メールアドレスの確認」を要求するものです。これらのメールは、アカウント停止をちらつかせ、ユーザーをpypi-mirror[.]orgや過去にはpypj[.]orgといった偽のログインページにリダイレクトします。

攻撃者の目的は、盗んだ資格情報を使って、PyPIに公開されているPythonパッケージをマルウェアで侵害したり、新たな悪意のあるパッケージを公開したりすることにあります。

推奨される対策

もしすでにリンクをクリックし、資格情報を提供してしまった場合は、以下の行動を直ちに取るよう強く推奨されています。

• PyPIのパスワードを直ちに変更する。
• アカウントのセキュリティ履歴を検査し、不審な活動がないか確認する。
• PyPIに対するフィッシングキャンペーンなどの不審な活動は、security@pypi.orgに報告する。

PyPIパッケージのメンテナー向けには、以下の追加のアドバイスが提供されています。

• メール内のリンクは決してクリックしない。
• ドメイン名に基づいて資格情報を自動入力するパスワードマネージャーを使用する。
• ハードウェアキーなどのフィッシング耐性のある二要素認証 (2FA) 方法を使用する。
• 不審なメールは、行動を起こす前に他の人と共有する。

また、ユーザーは悪意のあるドメインを報告し、レジストラに連絡してドメインを削除してもらうことで、これらのフィッシングキャンペーンの阻止に貢献できます。

過去の事例と背景

今回の攻撃は、PyPIを狙った一連のセキュリティインシデントの一部です。先週、Python Software Foundationチームは、9月上旬のGhostActionサプライチェーン攻撃で盗まれたすべてのPyPIトークンを無効化しました。また、2024年3月には、攻撃者が正規のパッケージを装った数百の悪意のあるパッケージを公開した後、PyPIは一時的にユーザー登録と新規プロジェクト作成を停止しました。

Picus Blue Report 2025によると、パスワードクラッキングが2倍に増加しており、環境の46%でパスワードがクラッキングされていることが明らかになっています。これは、セキュリティ対策の重要性を改めて浮き彫りにしています。