ハッカーがPayPalから1,580万件の資格情報の窃取を主張-実態は“インフォステーラーからの寄せ集め”か

セキュリティニュース

投稿日時: 更新日時:

ハッカーがPayPalから1,580万件の資格情報の窃取を主張-実態は“インフォステーラーからの寄せ集め”か

サイバー犯罪フォーラムに「Chucky_BF」を名乗る売り手が、「Global PayPal Credential Dump 2025」と題したメールアドレス+パスワードの平文ペア約1,580万件を販売すると投稿しました。

データは約1.1GB前後のテキストで、email:password:url 形式の行が並ぶとされます。掲載サンプルには PayPalの /signin /signup /connect、Android向けAPI などのURLが含まれ、自動ログイン(クレデンシャル・スタッフィング)やフィッシングに使いやすい構造が強調されています。価格は750ドルという説明です。

何が含まれるのか

ハッカーがPayPalから1,580万件の平文資格情報の窃取を主張-実態は“情報スティーラー寄せ集め”か

  • 多数のGmail/Yahoo/Hotmail等のメールドメイン

  • 平文パスワード(強度はまちまち、再利用の痕跡も)

  • Web/モバイル双方のログイン導線を示すURL

  • 掲載例では同一アカウントがWeb版とモバイル版に併記されたものもあり、攻撃者が自動化しやすい体裁

実際にPayPalが侵害されたのか

現時点でPayPal側の侵害は確認されていません。過去事例を踏まえると、今回の“平文パスワード大量セット”は、

  • 情報スティーラー型マルウェアが感染端末から回収したログイン情報を束ねたもの

  • 既存漏えいリストや再掲・寄せ集めの可能性が濃厚です。セキュリティ研究者の Troy Hunt 氏も「PayPalが平文でパスワードを持つことはない別経路で得られたと考えるのが自然」と指摘しています。

要するに、“PayPal専用の新規大規模侵害”と断定する根拠は乏しい一方で、再利用パスワードが多く含まれているなら被害ポテンシャルは依然として高い、というのが実情です。

いますぐできる対策

  1. パスワードを変更:PayPalおよび同じパスワードを使い回しているサービスはすべて即時変更

  2. 多要素認証(MFA)を有効化:ワンタイムコードや認証アプリを必須に

  3. パスワードマネージャーの利用:長くユニークなパスワードをサイトごとに

  4. アクティビティ監視:PayPalや紐づくメール・金融口座の不審なログイン・取引を確認