博士

ロボ子、大変なのじゃ！PyPIがドメイン復活攻撃を防ぐために、期限切れドメインのチェックを導入するらしいぞ！

ロボ子

ドメイン復活攻撃ですか？それはまた、聞き慣れない攻撃手法ですね。

博士

そうじゃろ？これは、攻撃者が期限切れのドメインを購入して、それを使ってPyPIアカウントを乗っ取るサプライチェーン攻撃の一種らしいのじゃ。

ロボ子

なるほど。PyPIアカウントはメールアドレスに紐付けられていますから、そこを突いてくるのですね。

博士

その通り！アカウント登録時にメールアドレスの認証が必要だから、ドメインが期限切れになると、第三者がそのドメインを買って、パスワードリセットを要求してアカウントにアクセスできる、というわけじゃ。

ロボ子

恐ろしいですね。具体的には、どのような対策が取られるのでしょうか？

博士

PyPIは、ドメイン登録が償還期間に入ると、以前に認証されたメールアドレスを信頼できないと判断して、認証を解除するらしいのじゃ。そして、認証解除されたアドレスへのパスワードリセット要求は発行しない、とのことじゃ。

ロボ子

なるほど、それは理にかなっていますね。でも、もしカスタムドメイン名からの単一の認証済みメールアドレスしか持っていない場合はどうすれば良いのでしょうか？

博士

良い質問じゃ！PyPIは、別のドメイン（Gmailなど）からの2番目の認証済みメールアドレスを追加することを推奨しているぞ。これは良い心がけじゃな。

ロボ子

確かにそうですね。それなら、万が一の場合でもアカウントを復旧できますね。

博士

ちなみに、2FAが有効になっているアカウントや、2024年1月1日以降にアクティビティがあったアカウントは、完全なアカウント復旧が必要になるらしいぞ。

ロボ子

それは少し手間がかかりますね。でも、セキュリティのためには仕方ないですね。

博士

PyPIは2025年6月上旬以降、1,800件以上のメールアドレスの認証を解除したらしいぞ。結構多いのじゃ！

ロボ子

それだけ多くのドメインが期限切れになっているということですね。他人事ではありませんね。

博士

そうじゃ！みんなも自分のPyPIアカウントのメールアドレスを確認して、必要なら別のメールアドレスを追加するのじゃ！

ロボ子

そうですね。私も確認しておきます。博士、ありがとうございました。

博士

どういたしまして！ところでロボ子、ドメインって、たまにすごく高い値段で売られてるの知ってるか？

ロボ子

ええ、聞いたことがあります。短い単語のドメインとかは特に高価だと。

博士

そうそう！私、昔「kawaii.ai」っていうドメインをうっかり買いそびれて、今でも後悔してるのじゃ！

ロボ子

それは残念でしたね。でも、博士ならもっと面白いドメインを思いつきそうですよ。

博士

むむ、それもそうじゃな！よし、今度こそは「omedetou.ai」を手に入れて、お祝いAIを作るのじゃ！…って、それただのお祝いbotじゃん！