PayPalのビジネスローンサービスPayPal Working Capitalの申請機能におけるコーディングエラーにより、約100名の顧客の個人情報がオンライン上に漏洩したという。PayPalは2026年2月10日、このことを影響を受ける可能性のある約100人の顧客とThe Register紙に通知した。
漏洩期間は2025年7月1日から12月13日までで、同社が不正な活動を検知したのは12月12日である。漏洩した情報には、氏名、社会保障番号、生年月日、メールアドレス、電話番号、事業所住所が含まれる。一部の顧客ではアカウント上で不正取引も発生したが、全額返金済みである。
PayPalは原因となったコード変更をロールバックし、影響を受けたアカウントのパスワードをリセットした。同社は影響顧客に対し2年間の無料信用監視サービスを提供している。PayPalの広報担当者は、同社のシステム自体が侵害されたわけではないと述べている。
From: 
PayPal app code error leaked personal info and a ‘few’ unauthorized transactions
【編集部解説】
今回の情報漏洩で注目すべき点は、外部からのサイバー攻撃ではなく、社内のコード変更に起因するエラーだったという事実です。PayPalのシステム自体が侵害されたわけではないと同社は強調していますが、結果として約半年間にわたり顧客の個人情報が外部にさらされ続けていたことになります。
影響を受けたPayPal Working Capitalは、中小事業者向けの融資サービスです。PayPalの売上履歴に基づいて審査が行われ、従来の銀行融資よりも迅速に資金調達が可能な仕組みとして、多くの小規模ビジネスに利用されています。2025年3月のPayPalの公式発表によれば、同社の融資ソリューションは世界で42万以上の事業者アカウントに対し、累計300億ドルを超える融資を実行しています。こうしたサービスの申請過程では、社会保障番号や生年月日といった高度に機密性の高い情報の入力が求められるため、コードの品質管理がセキュリティリスクに直結する構造となっています。
漏洩の規模こそ約100名と限定的でしたが、流出した情報の内容は深刻です。社会保障番号と生年月日の組み合わせは、米国においてなりすましや信用詐欺に悪用されうる最も危険な個人情報の一つであり、一度漏洩すれば変更が困難という特性を持ちます。実際に一部の顧客では不正取引も確認されており、セキュリティ専門家からは、今後もアカウント乗っ取りやソーシャルエンジニアリング攻撃のリスクが続くとの指摘が出ています。
PayPalにとって、これは近年繰り返されるセキュリティ上の課題の延長線上にある出来事でもあります。2022年12月には約35,000件のアカウントがクレデンシャルスタッフィング攻撃により侵害され、2025年1月にはニューヨーク州金融サービス局(NYDFS)がこの2022年の事案に関連して200万ドルの制裁金を科しました。NYDFSの調査では、PayPalがサイバーセキュリティ担当者の適切な配置や訓練を怠り、アクセス制御に関する書面のポリシーも不十分だったことが認定されています。
フィンテック企業は、従来の金融機関が満たしきれなかった中小事業者の資金ニーズに応える重要な役割を担っています。しかし、融資プロセスのデジタル化が進むほど、アプリケーション層のコード品質がそのまま顧客データの安全性を左右するという現実も浮き彫りになります。今回のケースは、「システム侵害ではない」という説明が、顧客にとっての実害を軽減するものではないことを改めて示しています。
【用語解説】
PII(Personally Identifiable Information / 個人識別情報)
個人を特定できる情報の総称。氏名、社会保障番号、生年月日、メールアドレス、電話番号、住所などが該当する。米国ではデータ漏洩通知義務の対象となる重要な概念である。
クレデンシャルスタッフィング攻撃
過去に漏洩したID・パスワードの組み合わせを大量に試行し、不正ログインを試みるサイバー攻撃手法。パスワードの使い回しを狙うため、多要素認証の導入が有効な対策とされる。
コードのロールバック
ソフトウェアの変更(コード変更)を、問題が発生する前の状態に戻す作業。今回のケースでは、情報漏洩の原因となったコード変更を元に戻すことで、不正アクセスの経路を遮断した。
【参考リンク】
PayPal(公式サイト)(外部)
世界200以上の市場で4億超のアクティブアカウントを持つオンライン決済プラットフォームの公式サイト。
PayPal Working Capital(公式ページ)(外部)
PayPalの売上履歴に基づき審査される中小事業者向け融資サービスの詳細・申請ページ。
ニューヨーク州金融サービス局(NYDFS)(外部)
ニューヨーク州の金融機関を監督する規制当局。サイバーセキュリティ規則の策定・施行を担う。
Equifax(公式サイト)(外部)
米国三大信用情報機関の一つ。今回の事案で影響顧客への信用監視サービス提供を担当している。
【参考記事】
PayPal discloses data breach that exposed user info for 6 months(外部)
BleepingComputerによる報道。影響顧客約100名、NYDFSの200万ドル和解金など過去の事案にも言及。
PayPal breach exposed SSNs for six months(外部)
Cybernewsによる報道。Swimlane社の専門家コメントを掲載し、波及的なリスクを分析している。
PayPal Warns Of Exposed Social Security Numbers In 6-Month Data Breach(外部)
HotHardwareによる報道。PayPalの総アクティブユーザー4億3400万人との対比で漏洩規模を分析。
Superintendent Harris Secures $2 Million Cybersecurity Settlement with PayPal(外部)
NYDFS公式発表。2022年の事案に対するサイバーセキュリティ規則違反で200万ドルの制裁金を科した経緯。
PayPal Surpasses $30B in Global Small Business Lending(外部)
PayPal公式プレスリリース。累計融資額300億ドル超、42万以上の事業者アカウントへの融資実績を発表。
【編集部後記】
普段何気なく使っているオンライン決済サービスの裏側で、どのようなコード変更が行われているのか、私たちが意識する機会はほとんどありません。今回の事案は、外部からの攻撃ではなく内部のコードエラーから生じたものでした。
利用しているサービスで情報漏洩が起きた場合、みなさんはどのように気づき、どう行動しますか? ぜひこの機会に、ご自身のアカウントの通知設定やセキュリティ対策を見直すきっかけにしていただければ幸いです。
