- PyPIは、偽ドメインや緊急性を装ったメールを使ったフィッシング攻撃が今後も続くと警告
- 被害者は、pypi-mirror.orgのようなタイプスクワットサイトでアカウント認証を促され騙される
- ユーザーや管理者には、フィッシング耐性のある2要素認証とドメイン認識型パスワードマネージャーの利用を推奨
PyPIのユーザーおよび管理者に対するフィッシング攻撃が今後も続くと、財団は警告しており、メンバーに対してセキュリティの強化と警戒を呼びかけています。
財団のセキュリティ開発者インレジデンスであるセス・ラーソンによって公開された新しいブログ記事では、最近の攻撃が、説得力のあるメールとタイプスクワットドメインを使って人々のログイン認証情報を盗む、数か月にわたるキャンペーンの継続であると指摘されています。
「残念ながら、ドメインの混乱や本物そっくりのメールを使ったフィッシング攻撃が続いています」とラーソン氏は書いています。「これは数か月前にPyPIで確認された攻撃と同じもので、多くの他のオープンソースリポジトリも標的になっていますが、今回は異なるドメイン名が使われています。これらの状況から、この種のキャンペーンは今後も新たなドメインで継続すると考えています。」
安全を守るには
メールでは、被害者に「アカウントの保守およびセキュリティ手続き」のためにアドレスの「認証」を求め、従わない場合はアカウントが閉鎖されると脅されます。
このような緊急性や脅しは典型的なフィッシングメールの特徴であり、被害者はPyPIやPython Software Foundationが所有していないpypi-mirror.orgというドメインに誘導されます。
「すでにリンクをクリックして認証情報を入力してしまった場合は、直ちにPyPIのパスワードを変更することを推奨します」とラーソン氏は警告しています。「アカウントのセキュリティ履歴に不審な点がないか確認してください。PyPIに対するフィッシングキャンペーンなど、不審な活動は[email protected]まで報告してください。」
フィッシングは、非常に防ぐのが難しい一方で、非常に簡単に防御できる場合もあります。理論上は、常識を働かせてクリック前に考えるだけで十分な場合がほとんどです。しかし、万が一注意が散漫になった場合に備え、ユーザーにはハードウェアトークンなどのフィッシング耐性のある2要素認証(2FA)の利用が推奨されています。
一方、管理者はドメイン名に基づいて自動入力するパスワードマネージャーを利用すべきです。普段は自動入力されるのに入力されない場合は、大きな警告サインです。フィッシング耐性のある2要素認証も推奨されます。
出典:The Register
