サイバー犯罪フォーラムに「Chucky_BF」を名乗る売り手が、「Global PayPal Credential Dump 2025」と題したメールアドレス+パスワードの平文ペア約1,580万件を販売すると投稿しました。
データは約1.1GB前後のテキストで、email:password:url 形式の行が並ぶとされます。掲載サンプルには PayPalの /signin /signup /connect、Android向けAPI などのURLが含まれ、自動ログイン(クレデンシャル・スタッフィング)やフィッシングに使いやすい構造が強調されています。価格は750ドルという説明です。
何が含まれるのか

-
多数のGmail/Yahoo/Hotmail等のメールドメイン
-
平文パスワード(強度はまちまち、再利用の痕跡も)
-
Web/モバイル双方のログイン導線を示すURL
-
掲載例では同一アカウントがWeb版とモバイル版に併記されたものもあり、攻撃者が自動化しやすい体裁
実際にPayPalが侵害されたのか
現時点でPayPal側の侵害は確認されていません。過去事例を踏まえると、今回の“平文パスワード大量セット”は、
-
情報スティーラー型マルウェアが感染端末から回収したログイン情報を束ねたもの
-
既存漏えいリストや再掲・寄せ集めの可能性が濃厚です。セキュリティ研究者の Troy Hunt 氏も「PayPalが平文でパスワードを持つことはない。別経路で得られたと考えるのが自然」と指摘しています。
要するに、“PayPal専用の新規大規模侵害”と断定する根拠は乏しい一方で、再利用パスワードが多く含まれているなら被害ポテンシャルは依然として高い、というのが実情です。
いますぐできる対策
-
パスワードを変更:PayPalおよび同じパスワードを使い回しているサービスはすべて即時変更
-
多要素認証(MFA)を有効化:ワンタイムコードや認証アプリを必須に
-
パスワードマネージャーの利用:長くユニークなパスワードをサイトごとに
-
アクティビティ監視:PayPalや紐づくメール・金融口座の不審なログイン・取引を確認








