Pythonコミュニティは5月25日(現地時間)、「Securing PyPI accounts via Two-Factor Authentication - The Python Package Index」において、2023年末までにPyPI (Python Package Index)でプロジェクトや組織を管理しているすべてのユーザーに対し、2023年末までに二要素認証(2FA: Two-Factor Authentication)を有効化するように求めると伝えた。相次ぐセキュリティインシデントへの対応とされている。

  • Securing PyPI accounts via Two-Factor Authentication - The Python Package Index

    Securing PyPI accounts via Two-Factor Authentication - The Python Package Index

PyPIはPython開発者が利用するライブラリやモジュールを提供するリポジトリであり、多くのユーザーが利用している。Pythonはサードパーティ製のライブラリやモジュールを使用することでさまざまな機能を提供しており、PyPIはそうしたPythonにおいて欠かすことのできない存在となっている。

近年、このPyPIを悪用したセキュリティインシデントが発生している。既存のメンテナのアカウントを乗っ取りライブラリやモジュールにマルウェアといった悪意あるコードを混入させるというもので、これまで問題のなかったライブラリやモジュールがバージョンアップでいきなりマルウェアを含むといった問題を引き起こしている。

同様の問題はPyPIのみならずGitHub.comやほかのリポジトリサービスでも発生しており、利用者に二要素認証(2FA)を要求することがこうしたサイバー攻撃への有効な対策として取り組みが進められている。今回、PyPIも同様の取り組みを進めることになった。二要素認証(2FA)が有効になっていれば、仮にパスワードが推測されてアカウントへの侵入が行われた場合でもすぐに乗っ取りが実施されるとは限らず、一定の歯止めとして機能することが期待されている。