PyPI now blocks domain resurrection attacks used for hijacking accounts

Python Package Index (PyPI)は、パスワードリセットによるアカウント乗っ取りを可能にするドメイン復活攻撃に対する新たな保護を導入した。

PyPIは、オープンソースのPythonパッケージの公式リポジトリです。Pythonのライブラリ、ツール、フレームワークを扱うソフトウェア開発者、製品メンテナ、企業によって利用されています。

PyPIでソフトウェアを公開しているプロジェクトメンテナのアカウントはメールアドレスにリンクされています。いくつかのプロジェクトの場合、メールアドレスはドメイン名と結びついています。

ドメイン名の有効期限が切れた場合、攻撃者はそのドメイン名を登録し、メールサーバをセットアップしてアカウントのパスワード再設定要求を発行した後、それを使ってPyPi上のプロジェクトを制御することができます。

これによるリスクは、乗っ取られたプロジェクトが人気のあるPythonパッケージの悪意のあるバージョンをプッシュするサプライチェーン攻撃であり、多くの場合、pipを使って自動的にインストールされる。

このような攻撃の顕著なケースの1つは、2022年5月の「ctx」パッケージの侵害で、脅威行為者がAmazon AWSのキーとアカウント認証情報を標的とするコードを追加した。

この問題に取り組む試みとして、PyPIは現在、プラットフォーム上で検証済みのメールアドレスのドメインが期限切れか、期限切れのフェーズに入っているかをチェックし、それらのアドレスを未検証としてマークしています。

技術的には、PyPIはDomainrのStatus APIを使用してドメインのライフサイクルステージ(有効期間、猶予期間、償還期間、削除待ち)を判断し、指定されたアカウントに対してアクションを取る必要があるかどうかを決定します。

Domain lifecycle stages
ドメインのライフサイクルステージ
Source:PyPI

いったんメールアドレスがその状態になると、パスワードのリセットやその他のアカウント回復アクションに使用できなくなるため、攻撃者がドメインを登録したとしても、悪用の機会を失うことになる。

この新しい対策は、実際に4月に開発が開始され、状況を評価するための暫定的なスキャンが実施された。最終的には、2025年6月に導入され、毎日スキャンされるようになった。それ以来、1,800を超える電子メールアドレスが新しいシステムの下で未検証となっている。

すべての攻撃シナリオに対して確実で十分なものではありませんが、この新しい対策により、攻撃者が期限切れのドメインを悪用してPyPIのアカウントを乗っ取るリスクを大幅に減らすことができます。

PyPIは、混乱を避けるために、アカウントに非カスタムドメインのバックアップメールを追加し、乗っ取りに対するより強固な保護のためにPyPIアカウントで二要素認証を有効にすることを推奨します。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}

.ia_button {
width: 100%;
margin: 0px auto;
}
}


Picus Blue Report 2025

パイカスブルーレポート2025年版はこちらパスワード・クラッキングが2倍増加

46%の環境でパスワードがクラックされ、昨年の25%からほぼ倍増。

今すぐPicus Blue Report 2025を入手して、予防、検出、データ流出の傾向に関するその他の調査結果を包括的にご覧ください。