2025年7月29日、Python Package Index(PyPI)管理者は、「[PyPI] Email verification」という件名でnoreply@pypj[.]orgから届くフィッシングメールの発生を発表した。
このメールは精巧な偽PyPIサイトへ誘導し、ログイン情報が入力されると攻撃者に送信されると同時に、本物のPyPIでも認証が行われるため、被害者は異常に気付きにくい。
PyPI自体のシステム侵害は発生しておらず、標的は主にアカウントを持つ開発者。公式対応としては、トップページで警告バナーの掲示、悪性ドメインへの通報およびテイクダウン申請、被害時のパスワード変更案内などが実施されている。被害が疑われる場合は、即時のパスワード変更とアカウント履歴の確認が強く求められている。
なお、類似手口は2025年7月にnpmで7パッケージが侵害された事例でも確認されている。
From: 
PyPI Warns of Ongoing Phishing Campaign Using Fake Verification Emails and Lookalike Domain
【編集部解説】
今回のPyPIフィッシング攻撃は、単発の事件ではなく、開発者エコシステム全体を狙った組織的なサプライチェーン攻撃の一部として理解する必要があります。パッケージレジストリの信頼性という根幹を狙った手法であり、その深刻度と影響を解説いたします。
この攻撃の最も巧妙な点は、従来のフィッシングで一般的な「認証失敗」という警告シグナルを消去していることです。被害者が偽サイトで入力した認証情報が攻撃者によって同時に正規PyPIサイトにも送信されるため、ログインが成功したように見えてしまいます。これにより、被害に気づくタイミングが大幅に遅延する可能性があります。
また、7月中旬に発生したnpmの大規模攻撃との関連性も見逃せません。両攻撃は共通して「タイポスクワッティング」と呼ばれる紛らわしいドメイン名(npmjs.comに対するnpnjs.com、pypi.orgに対するpypj.org)を使用し、攻撃手法も酷似しています。npm攻撃では「eslint-config-prettier」など週間3000万ダウンロード超の人気パッケージが汚染され、「Scavenger Stealer」マルウェアによるブラウザデータの窃取が実行されました。
これらの攻撃は、現代の開発環境における深刻な構造的問題を浮き彫りにしています。パッケージ管理システムは開発プロセスの中核を担っており、一つのアカウント侵害が数百万の開発環境に波及する可能性を秘めています。特に人気パッケージのメンテナーアカウントは、その影響範囲の広さから「ハイバリューターゲット」として攻撃者に狙われやすくなっています。
長期的な視点では、この種の攻撃が常態化することで、開発者コミュニティ全体の信頼性基盤が損なわれるリスクがあります。パッケージレジストリ運営者側も、従来の「ユーザー自身の注意喚起」だけでは限界があることを認識し、より積極的な技術的対策の実装が求められています。
現在PyPIは、悪性ドメインのテイクダウン申請や商標侵害通知の提出など法的手段を講じているものの、根本的な解決には時間を要する見込みです。開発者側としては、メールドメインの文字単位での確認、パスワードマネージャーの活用、2要素認証の有効化など、基本的なセキュリティプラクティスの徹底が急務となっています。
【用語解説】
フィッシング攻撃:
実在サービスを装い、ユーザー認証情報などを盗み取る詐欺手法。
タイポスクワッティング:
公式ドメインに似せた表記ミスドメインによる詐取方法。
リバースプロキシ型フィッシング:
偽サイトへ入力した認証情報をそのまま正規サイトに転送し、見かけ上問題がないよう装う手法。
サプライチェーン攻撃:
開発や流通のどこかを侵害し、幅広い利用者へ被害を波及させる攻撃。
Scavenger Stealer:
ブラウザ認証情報窃取などを行うマルウェア。npmパッケージ改ざんにも利用された。
【参考リンク】
Python Package Index(PyPI)(外部)
世界最大級のPython公式パッケージ管理サービス。ライブラリやツールの配布・管理を担う。
npm(npmjs.com)(外部)
Node.js向けパッケージレジストリ。JavaScriptエコシステムでOSSの開発・配布に広く利用されている。
PyPI公式警告 – PyPI Blog(外部)
今回のフィッシング攻撃に関する公式なアナウンス。詳細な事例分析とユーザー向けFAQを掲載。
【参考記事】
PyPI Warns Developers of New Phishing Attack via Fake PyPI Site(外部)
偽PyPIサイトによるアカウント乗っ取りの経緯、PyPI公式警告や防御ポイントを多角的に解説。
PyPI Alerts Developers to New Phishing Attack Using Fake PyPI Site(外部)開発者への注意喚起・現場対応策・攻撃の技術的背景を取り上げた事例集。防御策の実用例も記載。
【編集部後記】
私たちも日々新しいテクノロジーに触れるなかで、「どんなリスクが隠れているのか?」と考えることがあります。
今回のニュースをきっかけに、ご自身が使う開発ツールやサービスの“URLの一文字”や“認証のプロセス”に少しだけ注意を向けてみてはどうでしょうか。
セキュリティ体験や工夫、気付いたことがあれば気軽にシェアしてください。一緒により安全な未来を作っていきましょう。
