PyPIは8月18日(米国時間)、「Preventing Domain Resurrection Attacks - The Python Package Index Blog」において、サプライチェーン攻撃の防止を目的にドメイン復活攻撃への対策を実施したと発表した。
この対策によりアカウントの乗っ取りが困難になるという。
-
Preventing Domain Resurrection Attacks - The Python Package Index Blog
対策の概要
PyPIが発表した「ドメイン復活攻撃(domain resurrection attacks)」は、期限切れドメインを再取得してサイバー攻撃に悪用する攻撃手法を指す。PyPIはアカウントをメールアドレスで管理しており、メールアドレスのドメインを第三者に取得されると、パスワードリセット要求を介するアカウントの乗っ取りが可能とされる。
今回PyPIは、アカウントにひもづいたメールアドレスの中から、有効期限(Expiration Date)を30日以上過ぎたドメインに関連する約1,800件のメールアドレスを特定して「未検証」の状態に変更した。この変更によりメールアドレスの正当性が失われ、パスワードリセット要求を受け付けなくなるという。
PyPIは2024年1月1日以降、二要素認証(2FA: Two-Factor Authentication)を必須要件とし、特定のアクションを実行したユーザーに二要素認証の有効化を強制する対策を実施している。二要素認証を有効化したアカウントはパスワード以外の認証要素が必要となり、ドメイン復活攻撃からも守れると可能と評価されている。
裏を返すと「二要素認証を有効にせず、2024年以降に1度もアクセスがないメールアドレス」は保護できないことを意味しており、これらアカウントに対する防御策として今回の取り組みが実施された。
ブロックされた場合の対応
アカウントに登録している検証済みメールアドレスが1つしかなく、ログインできなくなった場合は「ヘルプ · PyPI」を参考にアカウントの復旧を試みる必要がある。PyPIはこのような不慮の事故を避けるために、カスタムドメインのメールアドレスを登録しているユーザーに対し、ドメイン復活攻撃の可能性の低いGmailなどのメールアドレスを追加しておくことを推奨している。
ANAが挑む、サイバーレジリエンス強化のための「予防」と「集団防衛」
