PyPI メンテナーを狙う新たなフィッシング攻撃:認証情報窃取のリスクと防御策

New Phishing Scam Aims at PyPI Maintainers to Steal Login Information

2024/09/25 gbhackers — ドメイン成りすまし型フィッシング・メールの新たな波が、再び Python のコミュニティとメンテナーたちを標的にしている。攻撃者がドメイン名を次々と変更するため、PyPI ユーザーは警戒を怠らず、アカウント保護のためにより強力な対策を講じる必要がある。最新の攻撃において、”アカウントのメンテナンスとセキュリティ手順” を装うメールを受け取ったメンテナーは、”メール・アドレスの確認” を促される。

このメッセージは、”違反するとアカウントが停止される可能性がある” と警告するものであり、受信者は “pypi-mirror.org” へのリンクをクリックするよう指示されるが、この URL は Python Packaging Authority (PSF) や公式 PyPI レジストリとは無関係のサイトを指すものだ。この PyPI の正規通知を模倣するメールでは、本物を装うブランド/レイアウト/トーンが使用されている。

この手口は 2025年7月に発覚した手口と類似しているが、オープンソース・コントリビュータを騙してログイン認証情報を開示させるために、その時とは別の偽装ドメインを使用している。この不正なページに誘導されたメンテナーは、ユーザー名とパスワードの入力を促されるという。

そして収集された認証情報は攻撃者に送られ、機密性の高いパッケージ・メタデータへの不正アクセスや、人気ライブラリの悪意のバージョンの公開などで、悪用される可能性がある。

この手法は、人間が慣れ親しんだインターフェイスへの信頼を利用し、類似ドメインを登録することで、単純なドメイン・フィルターを回避するものである。

PyPI はドメイン・レジストラと協力して “pypi-mirror.org” の削除に成功したが、根本的な戦術は依然として残っている。その結果として、新しいドメインは数分で作成され、同様のサイクルが繰り返されるため、より強力な防御策が導入されるまで、すべてのメンテナーが危険にさらされる。

PyPI の防御策

PyPI セキュリティ・チームは、この攻撃を阻止するために複数の対策を講じた。まず、悪意のドメインをホストするレジストラやコンテンツ配信ネットワークに通知し、問題のあるアドレスを無効化するよう依頼した。続いて、各フィッシング URL は業界全体の脅威インテリジェンス・フィードやブラウザ・ベースのブロック・リストに送信され、ユーザーが操作を続行する前に警告が表示されるようにした。

さらに PyPI は、他のオープンソース・パッケージ・エコシステムのメンテナーと連携して、迅速なドメイン削除リクエストに関するベストプラクティスを共有している。この共同対応により、ドメインの登録から削除までの公開期間を短縮することを目指している。加えて、PyPI チームは既存の2要素認証 (2FA) フレームワークの機能強化を検討している。

TOTP ベースの 2FA は依然として重要な防御層であるが、チームはリアルタイム・フィッシングに対する限界を認識しており、フィッシング耐性のある認証を提供するために、ハードウェア・セキュリティ・キーとの統合を検討している。

こうした対策にもかかわらず、PyPI が強調するのは、メンテナーの参加/協力なしには、完璧なソリューションが存在しないことだ。このプラットフォームはフィッシングの傾向を監視し、検出ヒューリスティックを改良し、新たな脅威に関するユーザーへの啓蒙活動を継続している。

メンテナー向けのベストプラクティス

メンテナーは厳格な運用習慣を身につけることで、フィッシング攻撃の影響を大幅に軽減できる。

  • 迷惑メール内のリンクは絶対にクリックせず、必ず “pypi.org” に直接アクセスしてアカウント通知を確認する。
  • 正確なドメインに基づいて認証情報を自動入力する、パスワード・マネージャーを使用すること。自動入力が失敗した場合には、危険信号として扱う。
  • FIDO2 準拠のハードウェア・トークンなど、フィッシング耐性のある 2FA 方式に移行することで、リアルタイムで認証情報が窃取されるリスクを低減できる。
  • TOTP アプリに依存している場合には、不審なメールを受け取った後にアカウント設定で最近のセキュリティ履歴を確認し、不正ログインの試行や認証情報の変更を検出すること。
  • 疑問がある場合には、メールをきっかけに行動する前に、同僚やセキュリティ担当者に相談する。疑わしいメールの共有は、コミュニティ全体の警戒意識向上にも寄与する。
  • 開発者フォーラム/メーリングリスト/ソーシャルメディアを通じて警告を広め、可能な限り多くのコントリビューターに注意を喚起する。

オープンソースが重要インフラの柱であり続ける限り、フィッシング攻撃は続くであろう。集団的な警戒と迅速な情報共有こそが、最も効果的な防御策である。そして標的にされたと思える場合や、悪意あるリンクをクリックしたと思える場合には、直ちに PyPI のパスワードを変更し、アカウントのセキュリティ履歴内の異常を確認する必要がある。

PyPI のメンテナーを狙う、ドメイン成りすまし型のフィッシング攻撃が横行しているようです。この問題の原因は、人間が慣れ親しんだ正規ドメインや通知デザインへの “信頼” が、悪用されてしまう点にあります。攻撃者は本物に似たドメインを登録し、メールで偽サイトへ誘導することで、ユーザー名やパスワードを入力させようとしています。単純なドメイン・フィルタでは防ぎにくい攻撃であり、ドメインを短期間で使い捨てる手口が繰り返されるため、対応が難しくなっていると、この記事は指摘しています。よろしければ、PyPI Phishing で検索も、ご参照ください。