PyPIフィッシング攻撃の概要（2025年9月23日）

PyPIフィッシング攻撃の概要（2025年9月23日）

2025年9月23日、PyPIユーザーを標的とした新たなフィッシングキャンペーンが発見されました。この攻撃では、「アカウント維持およびセキュリティ手続き」のためにメールアドレスを確認するよう促す偽メールを送り、アカウント停止をほのめかす手口が使われていました。

メールに含まれていた詐欺リンクは、ユーザーを pypi-mirror.org というドメインへ誘導していましたが、このドメインはPyPIやPython Software Foundation（PSF）とは一切関係のない悪意あるサイトです。今回の攻撃は、過去のフィッシングキャンペーンの延長線上にあるもので、新しいドメインを使用している点が特徴です。

PyPIはユーザー保護のため、次のような対策を講じています:

• 悪性ドメインを停止させるため登録事業者に連絡
• 当該ドメインを悪意あるURLのリストに提出
• 他のオープンソース・パッケージマネージャーと協力

またPyPIは、パッケージメンテナーに対して次のようなセキュリティ対策を推奨しています:

• メールに含まれる未承諾のリンクを信用したりクリックしたりしないこと
• 自動入力機能のあるパスワードマネージャーを使用すること
• ハードウェアキーのようなフィッシング耐性のある2段階認証（2FA）の方式を採用すること