PayPalが米国時間1月18日にメイン州の規制当局に届け出たところによると、2022年12月にクレデンシャルスタッフィング攻撃を受けた結果、同社のユーザー約3万5000人分の社会保障番号(SSN)をはじめとする個人情報が流出したという。
提供:Sarah Tew/CNET
提出された報告文書によると、PayPalは12月6~8日に攻撃を受け、その発覚は20日だったという。窃取された可能性があるのは、SSNのほか、ユーザー名や住所、生年月日、個人用納税者番号だ。
同社によると、金融情報の盗難や、顧客のアカウントの悪用があった痕跡はないという。また、同社決済システムへの影響もないとされている。
PayPalは1月19日、米CNETに向けた声明で、影響を受けた顧客に連絡し、個人情報のさらなる保護手段についてのガイダンスを提供したと述べた。また、影響を受けたすべてのアカウントのパスワードをリセットし、ユーザーに対して次回のログイン時に新たなパスワードを設定するよう求めている。
さらに同社は顧客らに対し、Equifaxの個人情報漏えい監視サービスを向こう2年間提供する。
クレデンシャルスタッフィング攻撃を仕掛けるサイバー犯罪者は、できる限り多くのアカウントにアクセスするために、過去のデータ漏えいで流出したユーザー名とパスワードの組み合わせを使ってオンラインアカウントを攻撃していくことがよくある。
サイバーセキュリティの専門家が、できる限り2要素認証を有効にするよう消費者に呼びかける理由はここにある。このセキュリティ対策は、パスワードの漏えい時にユーザーを保護するために、認証時点でパスワードに加えて2つ目の手続き、例えば指紋認証や、携帯電話に送信されるコードによる認証などを要求するというものだ。
さらに、パスワードを設定するときは、オンラインアカウントごとにランダムで長く、かつ固有のパスワードを設定するべきだ。そうすることで、クレデンシャルスタッフィング攻撃で用いられるパスワードリストに自分のパスワードが記載される可能性を低減できるだろう。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
