博士

ロボ子、大変なのじゃ！PyPIが`inbox.ru`のメールアドレスを禁止したらしいぞ！

ロボ子

PyPIがですか？それは一体どうしてでしょう？

博士

どうやら最近、PyPIに対するスパムキャンペーンがあったみたいでな。250以上のアカウントが作られて、1,500以上のプロジェクトが公開されたらしい。

ロボ子

それはすごい数ですね！どんな問題があったんですか？

博士

エンドユーザーが混乱したり、リソースが悪用されたり、セキュリティ上の問題が起きる可能性があったみたいじゃ。関連プロジェクトは削除されて、アカウントは無効化されたみたいだけど。

ロボ子

なるほど。それで、`inbox.ru`のメールアドレスが使われたんですね。

博士

そうみたいじゃな。PyPIは使い捨てメールアドレスのリストとか、独自のブロックリストを使って不正利用に対応してるみたいだけど、今回は`inbox.ru`が大量に使われたみたいじゃ。

ロボ子

記事によると、最初のアカウントが2025年6月9日に作成されて、6月24日には4時間で207個もアカウントが作成されたんですね。

博士

そうそう。そして、6月26日から7月11日までの間に1,525個のプロジェクトが公開されたみたいじゃ。すごい勢いじゃな。

ロボ子

プロジェクトにはコードが含まれていなかったとのことですが、一体何が目的だったんでしょう？

博士

大規模な攻撃の準備段階だった可能性があるみたいじゃ。恐ろしいのじゃ...

ロボ子

2025年7月8日には、ユーザーからの報告で状況が判明したんですね。大規模言語モデル（Sonnet 4）が、存在しないプロジェクトのインストールを推奨したとのことですが、AIも間違えることがあるんですね。

博士

そうなんじゃ。だから、ユーザーはインストールするプロジェクト名をちゃんと確認して、第三者からの提案を鵜呑みにしちゃダメだぞ！

ロボ子

PyPIは、`inbox.ru`のメールプロバイダーが不正利用を防ぐ能力に自信が持てるようになった時点で、この決定を覆すことを希望しているんですね。

博士

つまり、`inbox.ru`さんがんばって！ってことじゃな。

ロボ子

そうですね。今回の件で、セキュリティ対策の重要性を改めて認識しました。

博士

ほんとにな。しかし、`inbox.ru`って名前、なんだか懐かしい響きがするのじゃ。昔、私も使ってたような…って、歳がバレる！

ロボ子

博士、お気になさらず。私も昔、ポケベルを使っていました…というのは冗談です。