【注意喚起】Perlのニュースサイト perl dot com のドメインが何者かによって不正に取得されました

※タイトルはSNS等における自動リンクによるリンク拡散を避けるためにperl​.​comの表記を避けています
※本文のperl​.​comの表記には各種ツール引用後の自動リンク防止のため、ドット前後にUnicodeゼロ幅スペースを入れています

2021/02/03 09:20 JST: 各種CPANクライアントの安全性について誤解を招いているケースが見受けられたので表現を改めました

2021/02/06 22:00 JST: 公式情報が更新されました。ドメイン perl​.​com の奪還に成功し権威DNSは正しいアドレスを返すようになっています。しかし、いわゆるDNS浸透問題によって一部適切に新しいアドレスを返していないDNSキャッシュサーバーが存在するかもしれません。よって、利用する方は注意して利用してください。 正しいアドレスは 151.101.*.*/16 のものです。違うアドレスが返ってくる環境においては正しいアドレスが返る状態になるまで引き続きアクセスを控えてください。

log.perl.org

2021/02/02 20:00 JST現在、ドメイン perl​.​com は何者かに乗っ取られ、ランサムウェアを配布するサイトと同一のIPアドレスに向けられています。

perl​.​com は過去はO'Reillyが所持していましたが、その後The Perl Foundationがそれを引き受けPerlに関するニュースサイトを運営しており、Perlやそのコミュニティに関する記事などが提供されていました。

perldotcom.perl.org

なお、プログラミング言語Perlの公式ドメインは perl.org であり、こちらは乗っ取られていません。 また、(特に影響の大きい) cpan.org について適切に管理されていることをThe Perl Foundationが確認しています。(2/1時点)

CPANの利用、Perlそのものの利用に関して基本的に影響があるものではありません。

Perl開発者が気をつけるべきポイントは以下の2点です。

問題が解消するまではperl​.​comにアクセスしないでください

perl​.​comは現在、悪意のある目的で運用されている可能性があります。 この問題が解消するまではこのドメインへのアクセスは控えてください。

もし、perl​.​com の情報にアクセスしたい場合は、 perldotcom.perl.org を代わりに利用してください。

perldotcom.perl.org

perl​.​comのCPANミラーの利用を停止してください

原則として、どのCPANクライアントもミラーの設定を行なっていないデフォルトの状態でではperl​.​comのミラーを利用する事はありません。

もしperl​.​comのCPANミラーを利用中であれば、これを参照しないようにしてください。 代わりにhttp://www.cpan.org/などの別のミラーを参照してください。

この方法については利用中のCPANクライアントのドキュメントを参照してください。

たとえば、CPAN.pm(cpanコマンド)の場合は以下のとおりです。(TPFの告知情報より引用)

# perl -MCPAN -eshell
cpan shell -- CPAN exploration and modules installation (v2.20)
Enter 'h' for help.

cpan[1]> o conf urllist http://www.cpan.org/
Please use 'o conf commit' to make the config permanent!
cpan[2]> o conf commit
commit: wrote '/root/.cpan/CPAN/MyConfig.pm'

なお、CPAN.pm(cpanコマンド)は特に設定をしていない限りはperl​.​comが利用される事はなく安全です。

よく分からず心配な場合は改めて上記の設定をしておくことをおすすめします。

また、cpanm(App::cpanminus)やcpm(App::cpm)においては、実行時に明示的にmirrorオプションを指定しない限りはcpanmでは www.cpan.orgが、 cpmではcpan.metacpan.orgが利用されるため、明示的にmirrorオプションをperl​.​comに指定しない限りにおいて安全です。 cpanmに関しては環境変数PERL_CPANM_OPTの指定についても確認してください。

Carton/Carmelにおいても同様に明示的に指定しない限りは利用されません。 Cartonに関しては環境変数PERL_CERTON_MIRRORをCarmelに関してはcpanfileのmirror指定を確認してください。

いずれも、詳しい設定内容はそれぞれのドキュメントを参照してください。

以上です。 続報があればこのブログエントリを更新する形でお知らせします。