PayPal、6か月間にわたりユーザー情報が露出したデータ漏えいを公表

 (bleepingcomputer.com)
2 ポイント 投稿者 GN⁺ 2026-02-22 | 1件のコメント | WhatsAppで共有
  • 融資申請システムの不具合により、顧客の機微な個人情報が約6か月間外部に露出
  • 露出した情報には、氏名、メールアドレス、電話番号、事業所住所、社会保障番号、生年月日などが含まれる
  • PayPalは問題を発見した翌日にコード変更をロールバックしてアクセスを遮断し、一部アカウントの不正取引について返金対応を実施
  • 影響を受けた顧客にEquifaxを通じた2年間の信用監視および本人確認回復サービスを無償提供
  • 会社はシステム侵害はなく、約100人の顧客データのみが露出したと説明

データ漏えいの概要

  • PayPal Working Capital(融資アプリケーション) のソフトウェア不具合により、顧客情報が外部に露出
    • 露出期間は2025年7月1日から12月13日までと確認
    • 露出した情報には、氏名、メールアドレス、電話番号、事業所住所、社会保障番号、生年月日が含まれる
  • PayPalは2025年12月12日に問題を発見し、翌日にコード変更をロールバックしてアクセスを遮断
  • 会社は、この不具合により**少数の顧客の個人情報(PII)**が不正なアクセス者に露出したと明記

対応措置と顧客保護

  • PayPalは不正取引が発生した一部の顧客に返金を提供
  • 影響を受けた顧客にEquifaxの3大信用機関モニタリングおよび本人確認回復サービスを2年間無償提供
    • サービス登録期限は2026年6月30日
  • 影響を受けたすべてのアカウントのパスワードをリセットし、次回ログイン時に新しい認証情報の作成を要求
  • 顧客に信用報告書およびアカウント活動の監視を推奨
  • PayPalは電話、SMS、メールでパスワードや認証コードを求めることはないと改めて強調

会社の見解と追加説明

  • 記事更新後、PayPalの広報担当者はシステム自体は侵害されていないと説明
    • 露出した顧客は約100人で、システム侵入ではなくコード不具合による露出であることを強調
    • 「顧客情報が露出した可能性がある場合、法的に通知義務がある」と説明
  • つまり、セキュリティシステムは維持されていたが、コードの欠陥によりデータが外部から閲覧可能だった状況

過去の類似事例

  • 2022年12月、大規模なクレデンシャルスタッフィング攻撃により35,000件のアカウントが侵害された事例が存在
  • 2025年1月、ニューヨーク州政府はこの件に関連して200万ドルの和解金をPayPalに科した
    • 当時、PayPalが州のサイバーセキュリティ規則を順守していなかったことを理由に制裁

コミュニティの反応要約

  • 一部ユーザーは「システムが侵害されていないのに、なぜデータが漏えいしたのか」と質問
  • これに対する説明として、「セキュリティシステムは金庫のように安全だったが、コードの不具合で扉が開いていた状態」という比喩が示された
    • つまり、ハッキングではなく開発コードのミスにより情報が外部に露出した事例と解釈される

関連記事

1件のコメント

 
GN⁺ 2026-02-22
Hacker Newsの意見
  • ほぼ20年前、PayPal が理由もなく私の15ドルを持っていったことがあった
    ゲームを一度買って残りのお金を6か月置いておき、eBayで使おうとしたらアカウントが即座に凍結された
    身分証明書の公証まで求められたので、そのまま諦めた。それ以来「二度と使わない」と決め、今まで一度も後悔したことはない
    毎年新しい事件が起きるのを見るたびに、あの時の判断は正しかったと感じる
    いつか誰かがこの会社を相手取って巨額の訴訟を起こし、閉鎖に追い込んでほしい
    • 以前Redditで「PayPalが私の60万ドルを凍結した」という投稿を見たことがある
      調べてみると、それはまさに Notch が個人サイトで Minecraft のアルファ版を売っていた頃の話だった。当時は本当に詐欺のように見えた
    • 企業は放置された資金から 利益を得ることはできない と理解していた
      普通はこうしたお金は州政府の未請求資産機関に移されるものだと思っていた
      だとすれば、強欲というより単なる 無能 の問題かもしれない
    • 私も同僚へのプレゼント募金用にPayPalへの登録を試みたが、銀行認証を終えた直後にアカウントが凍結された
      カスタマーサポートへの電話や身分証のスキャンまで求められたので、そのままアカウントを削除し、デジタルギフトカードに切り替えた
    • PayPalは 独占的な地位 を持っており、実質的な代替手段がほとんどない
  • かつてインターネット上でPayPalは最も 信頼される決済手段 だった
    だが今では Stripe、Plaid、Google Pay、Apple Pay などで代替でき、PayPalは遅くサポートもひどい
    消費者の立場では、もはや使う理由がない
    • それでも G&S(商品・サービス決済) 機能のおかげで、詐欺に遭ったときに返金を受けられたことがある
      F&F(友人・家族送金)や Venmo、Zelle にはそうした保護がなく、危険だ
    • PayPalは今でも 少額決済の手数料体系 が有利だ
      たとえば ardour.org では毎月数千件の1ドル決済があるが、PayPalのおかげで1取引あたり23セント節約できる
    • Stripe や Plaid は対応国が限られている
      PayPalは依然として 世界的な知名度 が高い
    • 私のクレジットカードで Best Buy で支払うといつも取り消されるが、PayPalだと問題なく通る
      不正検知アルゴリズム のせいだと思う
    • 以前はPayPalが海外決済を簡単にしてくれる唯一の方法だった
      Stripe は一時期、米国専用だった
  • 記事によれば、PayPalは「コード変更によるエラーをロールバックしており、法執行機関の捜査が原因で通知が遅れたわけではない」と述べた
    しかし 2か月の遅延 の理由は依然として不明だ
    少なくともデータ漏えいの事実だけでも先に公表できたはずだ
    • 「法執行機関の捜査が理由ではない」というのは、疑わしいほど具体的な否定
      単に「捜査が理由ではない」というだけで、別の理由で遅らせた可能性はいくらでもある — たとえば「恥ずかしかったから」
    • クリスマス直前だったら? その時期に公表したとは思えない
  • 「当社のシステムは侵害されていない」という表現は実に 巧妙なフレーミング
    コードの不具合で6か月間SSNが露出していたのに、外部侵入がなかったから「侵害ではない」と呼んでいる
    Firebase、Supabase、ローンアプリなどでも似たようなパターンが繰り返されている
    ハッキングであれ ドアが開けっ放しだった のであれ、被害者にとっては同じ問題だ
  • 最近PayPalへの登録を試みたが、ひどい 認証手続き のせいで失敗した
    この程度の顧客獲得能力を見ると、セキュリティ事故も驚くほどではない
    • 最近は新規登録や長期間使っていないアカウントの復帰がますます難しくなっている
      過度な自動化と 侵襲的な認証手続き が問題だ
      Microsoft アカウントで子どもの Minecraft の支払いをしようとしたが、ログインから決済まであらゆる認証とエラーに阻まれた
      結局、セキュリティがユーザー体験を支配する 状況になっている
  • 被害者に2年間の Equifax信用監視サービス を提供するという文言があった。なんとも「洗練された」対応だ
    • 2017年のEquifaxデータ漏えい事件 を思うと皮肉だ
    • ほとんどの企業は「セキュリティ事故が起きても信用監視だけ提供すれば終わり」と考えている
      被害者は実質的な訴訟を起こしにくく、結局は 集団訴訟 で弁護士だけが得をする
  • ヨーロッパでは WERO がPayPalの代替になってほしい。名前は少し笑えるが
    • Wero は既存の SEPA送金 と大差ない
      PayPalにはそれでも 買い手保護制度 がある
    • 私がよく利用する店で Wero に対応しているところはまだ一つもない
  • 「今回の件でPayPal関係者のうち誰が刑務所に行くのか?」という質問が出ていた
    • 私もかつてはそう考えていたが、今では 企業は法の上にある存在 だと悟った
      罰金を払うほうが法を守るより安く、政界も技術に追いつけていない
      結局 消費者保護は後回し
    • それでも単なる バグ による事故なら、刑務所までは行き過ぎだと思う
      誰でもミスはするし、悪意ではないエラーなら処罰より改善が必要だ
  • たった今ログインしてみたら「パスワード再設定」の要求が出て、CAPTCHAの後にページが固まった
    結局、完全に 凍結されたアカウント になってしまった。さすがだよ、PayPal
  • 誰かが私のメールアドレスで 成人向け決済用のPayPalアカウント を作ってしまい、成人した今でもそのメールアドレスでは登録できない
    PayPalはメール認証なしで決済を許可していた
    カスタマーサポートに連絡したが、「方法はない」と言われるだけだった
    だから Stripe や Link、あるいは クレジットカード直接決済 しか使っていない
    カナダでは2003年から e-Transfer で手数料なしの送金が可能なので、PayPalはまったく必要ない