PayPalは、PayPal Working Capital(PPWC)ローン申請アプリケーションの不具合により、一部の顧客の個人情報(PII)が権限のない第三者に閲覧され得る状態になっていたとして、2026年2月10日付のデータ侵害通知(Breach Notification)を出しています。発生期間は2025年7月1日から12月13日で、PayPalは2025年12月12日に問題を把握し、原因となったコード変更をロールバックしたとしています。
概要
通知文では、影響人数を「少数(small number)」としつつ、PPWCローン申請機能のエラーによって個人情報が露出した可能性があると説明しています。法執行機関の捜査を理由に通知を遅らせたものではない、とも明記しています。
影響した可能性がある情報
PayPalの調査結果として、影響した可能性がある情報には以下が含まれ得るとされています。
-
氏名、メールアドレス、電話番号、事業所住所などの連絡先情報
-
上記に加えて、社会保障番号(SSN)および生年月日
一方で、本通知文に記載されている範囲では「PPWCローン申請アプリケーションの不具合によるPII露出」であり、攻撃手法(侵入経路やマルウェア)などの詳細は示されていません。
PayPalの対応
PayPalは、問題の把握後に以下を実施したとしています。
-
不正なアクセスを終了させる対応(unauthorized accessの停止)
-
影響を受けたアカウントのパスワードリセット、次回ログイン時に新パスワード設定を求める追加のセキュリティ制御
-
一部顧客で不正取引が発生し、PayPalが返金対応を実施
-
Equifaxによる2年間のクレジット監視とID復旧支援を無償提供
利用者に求めている対応
通知文では、利用者に対して以下を推奨しています。
-
取引履歴やアカウント情報、信用情報(クレジットレポート)の確認
-
不審な取引があればPayPalへ連絡
-
一般的な対策として、使い回しパスワードの回避、リンク先の確認、緊急性を煽る連絡への警戒、PayPalは電話・SMS・メールで認証要素(ワンタイムコード等)を求めない旨の注意喚起
関連記事
ボルボ北米、HRソフトサプライヤー「Miljödata」へのサイバー攻撃で人事情報が漏洩
ワシントンポスト、Oracle EBSへのサイバー攻撃で9,720名の個人情報流出-ハッカー グループ Cl0p(Clop)が関与か
Palo Alto Networks(パロアルトネットワークス)、Salesloft Driftへの不正アクセスで顧客情報が流出
サトー、海外グループで個人情報漏洩の可能性-Oracle EBSのゼロデイを悪用したサイバー攻撃(CVE-2025-61882)
富士フイルムメディカル、営業管理システムへの不正アクセスで約59万人分の個人情報漏洩の恐れ-ハッカーグループのサイバー攻撃が関係か
Ubisoftのレインボーシックス シージ 不正アクセスでサーバー停止、個人情報漏洩は未確認
ジャガーランドローバー、サイバー攻撃で3Qの売上が約3,100億円減少
サイバー攻撃の事例を解説
米 アリアンツ・ライフ、サイバー攻撃で110万人の個人情報漏洩の可能性
