PyPIっぽいところからのメール｜ブログ(ほぼこもセキュリティニュース)

PyPIは、Python Package Indexの略で、Pythonのパッケージを公開・共有するためのリポジトリです。
Pythonのライブラリやツールを誰でも公開でき、他のユーザーが簡単にインストール・利用できる仕組みを提供しています。
いろいろなコンピュータ言語で同じように公開されたリポジトリが利用できますが、そういったもののPython向けの環境です。
利用者は多く、公開されているソフトウェアも多くあります。
これがPythonがさらに多く選ばれる大きな特徴の一つとなっています。
そんな多くの人が利用し注目するシステムですので、これまでもたびたび悪用されてきています。
また、そんなPyPIの悪用の事例の一つが確認されています。

PyPIっぽいところからメールが来る
攻撃の始まりはメールです。
メールのタイトルは「[PyPI] Email verification」というものになっています。
いかにも正規の活動でもありそうなものになっています。
そしてこのメールのfromアドレスは、「noreply@pypj.org」となっています。
正規のPyPIのドメイン名は、「pypi.org」です。
メールアドレスのtypoを悪用したメールになっています。
メールに従って、メールに記載のURLにアクセスすると、そこはいかにもPyPIの関連サイトのように見える内容になっています。
しかし、正規のサイトではありません。
悪意のあるWebサイトを開くと、標的のユーザはサインインを求められ、そのリクエストがPyPIにも送られて、ユーザがPyPIの正規サイトにログインしたと信じ込ませます。
しかし、実際には正規のサイトにログインする行為に加えて、脅威アクターはユーザのPyPIサイトでの認証情報を収集することを完了しています。

収集した認証情報を使うことで、脅威アクターはPyPIのサイトにログインできます。
そのログインしたユーザが人気のソフトウェアを公開していたらどうなるでしょう。
悪意ある機構がこっそり混ぜ込まれたソフトウェアを新バージョンとして公開状態にされてしまうと、被害者が多く発生する事態へと進展してしまいます。

今回の例では、PyPIのサイトそのものは侵害されていたということはありませんでした。
純粋に悪意ある詐欺メールの指示に従ってしまった人が自ら認証情報を脅威アクターに提供してしまったということになります。

システムが正しく運用されていても、人間の弱い部分を狙われる場合もあります。
もう、これは気をつけて日々暮らしていくということしかないのかもしれません。
メールのセキュリティシステムがこういったメールを除去してくれるケースもあるとは思いますが、そういったシステムがあるからといって、この種のメールが完全に防げるかというと、そんなことは期待できないと思われます。
既存のセキュリティシステムに依存するのではなく、自分の行動には自分で責任を持つということが必要ということですね。