PyPIが二要素認証を義務付け OSSのリポジトリへの攻撃が相次ぐ：Cybersecurity Dive

Python Package Index（PyPI）は、2023年末から全てのアカウントに対して二要素認証を義務付ける予定だ。近年、オープンソースソフトウェアのリポジトリを標的としたサイバー攻撃が目立っており、今回の対処はアカウントを乗っ取る攻撃を防ぐ意図がある。

[David Jones，Cybersecurity Dive]

　プログラミング言語「Python」のサードパーティーソフトウェアリポジトリである「Python Package Index」（以下、PyPI）は2023年5月25日（注1）、同年末からWebサイト上でプロジェクトまたは組織を管理する全てのアカウントに二要素認証を義務付けると発表した。

　Pythonは広く使われているプログラミング言語の一つだ。この義務化は、過去にPyPIユーザーを危険にさらしたアカウント乗っ取りを防ぐ目的がある。

　2023年末にかけて、PyPIは二要素認証の使用に基づいて特定のWebサイト機能へのアクセスを制限する。二要素認証への移行に当たり、特定のユーザーやプロジェクトが早期実施の対象に選ばれる可能性もあるが、選定のための具体的な基準は明示されていない。

OSSのリポジトリを狙うサイバー攻撃が増加中

　今回の認証義務化は、オープンソースソフトウェア（以下、OSS）コミュニティーにおけるサプライチェーンセキュリティに対する懸念が高まる時期に導入される。

　2023年5月初旬、PyPIは悪質なサイバー攻撃が相次ぐ中、新規ユーザーの作成を一時的に停止した（注2）。サイバー攻撃の頻度と量が原因で、管理者がインシデントに迅速に対応しきれない状況になったためだ。

　セキュリティに特化した解析ツールを提供するCheckmarxの研究者たちは（注3）、ここ数カ月の間に、多くの異なるOSSのレジストリサービスを標的とした悪意のある活動が続いていると報告している。

　Checkmarxのソフトウェアサプライチェーンセキュリティの責任者であるヨセフ・ハルシュ・カドリ氏は「Pythonは非常に人気のあるプログラミング言語であるため、セキュリティコミュニティー、特にOSSサプライチェーンに携わる企業は、攻撃者が怪しい活動でエコシステムを圧倒しないかどうかに注意を払っている」と話す。

　2022年末に発生した「.NET Framework」向けのパッケージマネジャー「NuGet」に対する攻撃（注5）や2023年4月に発生した「node.js」のパッケージシステム「npm」に対する攻撃（注4）を含め、悪意のある活動はさまざまなOSSのリポジトリに影響を与えている。

　当初Python Software Foundationの関係者は、停止が必要だった理由についてのコメントを避けたが、最近発表された記事では「十分な数の管理者がおらず、悪意のある活動の量に対処できない状態になっていた」と語った（注6）。

　司法省は、3つの召喚状を発行して（注7）、2023年3月および4月にPyPIを利用するユーザーのデータを取得したが、その情報がなぜ要求されたのかの詳細は開示されていない。召喚状は氏名や住所、セッションの記録時間、サービスの期間、支払いの手段と資金、アップロードされたパッケージの記録など幾つかの具体的な情報を要求している。

（注1）Securing PyPI accounts via Two-Factor Authentication（PyPI）
（注2）PyPI new user and new project registrations temporarily suspended.（PyPI）
（注3）PyPi on Hold: Suspends New Users' and Projects Creations Due to A High Volume of Malicious Activity（Medium）
（注4）Who Broke NPM?: Malicious Packages Flood Leading to Denial of Service（Medium）
（注5）How 140k NuGet, NPM, and PyPi Packages Were Used to Spread Phishing Links（Medium）
（注6）Python Package Index had one person on-call to hold back weekend malware rush（The Register）
（注7）PyPI was subpoenaed（PyPI）

原文へのリンク