2025年、PayPalで約6か月間も気づかれなかったデータ漏えいが発覚しました。しかし被害件数は約100件と少なめでした。それでも長期潜伏型のインシデントには重要な教訓が詰まっています。そこでこのPayPal data breach 6 monthsの事例を分析します。
PayPal data breach 6 monthsの経緯を確認する
漏えいが起きたのは2025年7月1日です。具体的にはPayPal Working Capitalのコード変更が原因でした。つまりソフトウェアのバグにより顧客データが意図せず公開されたのです。しかし発見されたのは12月12日でした。したがって約6か月間も放置された状態でした。
露出した情報には顧客名やメールアドレスが含まれます。さらに社会保障番号も露出していました。しかもアプリ内の認証情報がハードコードされていました。つまり全ユーザーで同じ情報が使われていたのです。特に一部の顧客は不正取引の被害にも遭いました。
なぜ6か月間も発見されなかったのか
最大の要因はインフラ侵害ではなくコードのバグだったことです。そのため従来の侵入検知システムでは検出できませんでした。また攻撃者が段階的に情報を収集していた可能性もあります。つまり突発的な兆候が見られなかったのです。
さらにAPIフィールドへのアクセス監視が不十分でした。具体的にはアプリケーション層の監視が抜けていました。しかもセキュリティ監視のアラート疲れも一因と考えられます。したがって長期潜伏型の攻撃は発見が非常に困難です。
長期潜伏型インシデントの再発防止策
まず異常検知の強化が最優先です。具体的にはAIを活用した行動分析が有効です。またベースライン動作との比較で偏差を検出しましょう。さらにフィールドレベルのアクセス制御が重要です。つまりデータへの最小権限の原則を徹底します。
コードレビューの強化も欠かせません。特にAPI変更時のセキュリティレビューを厳格化します。またインシデント対応計画の定期テストも必要です。加えてPayPalは被害者に2年間のクレジット監視サービスを提供しました。このように長期潜伏型インシデントへの備えは多層防御が基本です。