PayPal、サイバー攻撃で3万5000人分の個人情報が流出

Bree Fowler (CNET News) 翻訳校正: 編集部

2023-01-20 09:37

 PayPalが米国時間1月18日にメイン州の規制当局に届け出たところによると、2022年12月にクレデンシャルスタッフィング攻撃を受けた結果、同社のユーザー約3万5000人分の社会保障番号(SSN)をはじめとする個人情報が流出したという。

PayPalのロゴを表示したスマートフォン
提供:Sarah Tew/CNET

 提出された報告文書によると、PayPalは12月6~8日に攻撃を受け、その発覚は20日だったという。窃取された可能性があるのは、SSNのほか、ユーザー名や住所、生年月日、個人用納税者番号だ。

 同社によると、金融情報の盗難や、顧客のアカウントの悪用があった痕跡はないという。また、同社決済システムへの影響もないとされている。

 PayPalは1月19日、米CNETに向けた声明で、影響を受けた顧客に連絡し、個人情報のさらなる保護手段についてのガイダンスを提供したと述べた。また、影響を受けたすべてのアカウントのパスワードをリセットし、ユーザーに対して次回のログイン時に新たなパスワードを設定するよう求めている。

 さらに同社は顧客らに対し、Equifaxの個人情報漏えい監視サービスを向こう2年間提供する。

 クレデンシャルスタッフィング攻撃を仕掛けるサイバー犯罪者は、できる限り多くのアカウントにアクセスするために、過去のデータ漏えいで流出したユーザー名とパスワードの組み合わせを使ってオンラインアカウントを攻撃していくことがよくある。

 サイバーセキュリティの専門家が、できる限り2要素認証を有効にするよう消費者に呼びかける理由はここにある。このセキュリティ対策は、パスワードの漏えい時にユーザーを保護するために、認証時点でパスワードに加えて2つ目の手続き、例えば指紋認証や、携帯電話に送信されるコードによる認証などを要求するというものだ。

 さらに、パスワードを設定するときは、オンラインアカウントごとにランダムで長く、かつ固有のパスワードを設定するべきだ。そうすることで、クレデンシャルスタッフィング攻撃で用いられるパスワードリストに自分のパスワードが記載される可能性を低減できるだろう。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]