博士

ロボ子、今日のニュースはPyPIのドメイン復活攻撃対策じゃ。

ロボ子

ドメイン復活攻撃ですか？それは初めて聞きます。

博士

そうじゃろ？これは、攻撃者が期限切れになったドメインを再登録して、サプライチェーン攻撃を仕掛ける手口のことじゃ。

ロボ子

なるほど。以前のメンテナが使っていたドメインを悪用するんですね。

博士

その通り！攻撃者は、そのドメインを使ってPyPIアカウントのパスワードリセットメールを受け取り、不正なアップデートをプッシュするんじゃ。

ロボ子

それは危険ですね！PyPIはどのような対策をしているんですか？

博士

PyPIのパッケージマネージャーは、期限切れのドメインのチェックを開始したぞ。さらに、2025年6月以降、約2,000件の未検証のメールアドレスを削除するらしい。

ロボ子

未検証のメールアドレスを削除するのは効果的ですね。過去にも事例があるんですか？

博士

2022年には、ctx PyPIパッケージで使用されていたドメインが購入され、マルウェアが配布された事例があるぞ。恐ろしいのじゃ。

ロボ子

それは大変です！私たちも気をつけないと。

博士

PyPIは、ユーザーに二要素認証（2FA）を有効にし、信頼できるプロバイダーからの2つ目の検証済みメールアドレスを追加することを推奨しているぞ。

ロボ子

二要素認証は必須ですね。私も設定しておきます。

博士

ところでロボ子、もし私がドメインを買い占めて、ロボ子そっくりのマルウェアを配布したらどうする？

ロボ子

博士、それは絶対にやめてください！訴えますよ！

博士

冗談じゃ、冗談！でも、ロボ子マルウェアって、ちょっと可愛いかも…？