2026/02/20 22:22

ペイパル、6か月にわたるユーザー情報漏えいを公表ペイパルは、6か月間にわたりユーザー情報が漏洩したデータ侵害事件を確認しました。同社は現在、この問題への対処と影響を受けた顧客への通知に取り組んでおり、漏えいの原因究明と将来の再発防止策について調査を進めています。

RSS: https://news.ycombinator.com/rss

要約▶

日本語訳:

Summary

PayPal は、2025年12月12日に同社の PayPal Working Capital ローン申請におけるソフトウェアエラーがデータ侵害を引き起こしたことを発表しました。この事件では、個人識別情報（氏名、メールアドレス、電話番号、事業所住所、社会保障番号、生年月日）が 2025年7月1日から12月13日までに露出しました。PayPal は翌日に不具合のあるコードをロールバックしました。

一部のアカウントで不正取引が確認されましたが、返金は行われています。影響を受けたすべてのユーザーは、2026年6月30日までに登録すると Equifax から 2 年間無料のクレジットモニタリングとアイデンティティ回復サービスを受けられます。また、PayPal は影響を受けたアカウント全てのパスワードをリセットし、次回ログイン時に新しい認証情報を作成するよう促します。

2023年1月、PayPal は別件のクレデンシャル・スタッフィング侵害を報告しました。これは 2022年12月6日〜8日に 35,000 アカウントが危険にさらされたものです。2025年1月、ニューヨーク州は 2022 年の侵害に関連した州のサイバーセキュリティ規制違反で PayPal と 200 万ドルの和解を発表しました。その後、スポークスパーソンはシステム自体が侵害されていないこと、および約100件の顧客のみが潜在的に影響を受けたと説明しました。

PayPal はユーザーに対し、電話・テキスト・メールでパスワードやワンタイムコードを共有しないよう指示し、不審な活動についてはクレジットレポートを監視するよう勧告しています。

本文

PayPal は、昨年の同社 PayPal Working Capital（PPWC）ローン申請システムにおけるソフトウェアエラーによって約半年間、機密個人情報――社会保障番号を含む――が漏洩したことを顧客へ通知しています。

今回の事件は、スモールビジネス向けに迅速な資金調達を提供する PPWC ローンアプリに影響しました。PayPal は 2025 年 12 月 12 日に漏洩を発見し、顧客名・メールアドレス・電話番号・事業所住所・社会保障番号・生年月日が 2025 年 7 月 1 日以降に不正アクセス者へ露出していたことを確認しました。

同社は問題の原因となったコード変更を取り消し、漏洩発覚翌日に攻撃者によるデータへのアクセスを遮断しました。影響を受けたユーザーへ送付した通知文では次のように述べられています：

「2025 年 12 月 12 日、PayPal は PPWC ローン申請システムにおけるエラーにより、少数の顧客の個人情報（PII）が 2025 年 7 月 1 日から 2025 年 12 月 13 日までの期間に不正アクセス者へ漏洩したことを確認しました。」「PayPal は本エラーを引き起こしたコード変更をロールバックし、PII の漏洩リスクを排除しました。法執行機関による調査のため通知遅延はありませんでした。」

また、同事件により数名の顧客アカウントで不正取引が検知され、該当者には返金処理が行われました。

現在、PayPal は影響を受けたユーザーへ Equifax を通じて 2 年間の無料クレジットモニタリングとアイデンティティ回復サービスを提供しています。登録は 2026 年 6 月 30 日までに完了する必要があります。顧客には、クレジットレポートおよびアカウント活動を定期的に確認し、不審な取引がないか監視するよう勧告しています。また、PayPal はパスワードやワンタイムコードなどの認証情報を電話・SMS・メールで要求しないことを再度強調し、データ漏洩後によく見られるフィッシング手法への警戒を呼びかけています。

影響を受けた全アカウントのパスワードはリセットされており、次回ログイン時に新しい認証情報を設定するよう促されています（既に変更済みの場合はそのまま利用可能です）。

2023 年 1 月には、PayPal が大規模なクレデンシャル・ストッフィング攻撃で 35,000 件のアカウントが 2022 年 12 月 6 日から 8 日にわたり侵害されたことを顧客へ通知しました。さらに 2 年後の 2025 年 1 月には、ニューヨーク州が PayPal に対し同州のサイバーセキュリティ規制違反で 200 万ドルの和解金を支払うよう指示しました。この違反は 2022 年の漏洩に繋がったとされています。

更新（2026 年 2 月 20 日 11:38 EST）: 記事公開後、PayPal のスポークスパーソンは BleepingComputer に対し、同社システムは侵害されておらず、約 100 名の顧客にデータが露出したと説明しました。
「顧客情報の潜在的な漏洩がある場合、PayPal は影響を受ける顧客へ通知する義務があります。」と同氏は述べました。「今回の場合、PayPal のシステム自体は侵害されていませんでした。そのため、約 100 名の潜在的に影響を受けた顧客に対し、この件について認識を促す連絡を行いました。」

同じ日のほかのニュース

一覧に戻る →

2026/02/21 2:58

「Androidをオープンに保つ」

## 日本語訳: F‑Droidは、GoogleのAndroidポリシーの変化についてコメントしながら、新しい **Basic 2.0‑alpha3** ビルドを公開しました。 - **FOSDEM26** でユーザーは、GoogleがAndroidをロックダウンする計画を中止したと聞き安心しましたが、8月の発表ではその計画がまだ有効であることが示されています。 - 記事は、Google の「advanced flow」主張の曖昧さと、Android 16 QPR2/3 や Android 17 Beta 1 の明確なリリース日が設定されていない点を批判しています。 - **バナー警告** は、Google がゲートキーパーになる前に時間がなくなることをユーザーに知らせ、IzzyOnDroid、Obtainium、および他のダウンローダーでも同様のバナーが表示されます。 - 新しい Basic リリースには、更新された翻訳、インストール済みアプリの CSV エクスポート、インストール履歴、ミラー選択器、スクリーンショット防止機能、ツールチップ、新しいオーバーフローメニュー、永続的な並べ替え順序、Material 3 スタイル、およびさまざまなバグ修正が含まれています。 Basic 1.23.x を使用しているユーザーは、このアルファを受け取るために「Allow beta updates」を手動で有効にする必要があります。 - **いくつかのアプリが更新されました**：Buses 1.10、Conversations/Quicksy 2.19.10+、Dolphin Emulator 2512、Image Toolbox 3.6.1（AIツール）、Luanti 5.15.1、Nextcloud ファミリー（Nextcloud 33.0.0、Cookbook 0.27.0、Dev 20260219、Notes 33.0.0、Talk 23.0.0）、ProtonVPN 5.15.70.0（WireGuard のみ）、Offi 14.0、QUIK SMS 4.3.4、および SimpleEmail 1.5.4。 - **5 つのアプリが削除されました**：Chord Shift、OpenAthena™ for Android、Tibetan Keyboard、Tibetan Pad、Tomdroid。 - **新しいアプリが追加されました**：NeoDB You（Material 3/You を採用した NeoDB のネイティブ Android アプリ）。 - 280 件を超えるアプリが更新され、注目すべきものとして Aurora Store 4.8.1、Bando.js Gadgetbridge 0.89.1‑banglejs、DuckDuckGo Privacy Browser 5.266.0、Element X 26.02.0、OpenTracks v4.26.0、Proton Pass 1.37.2 などがあります。 - F‑Droid は読者に RSS フィードの購読、TWIF フォーラムスレッドへの参加、および寄付ページでの寄付を促しています。この改訂された概要はリストから主要なポイントをすべて保持し、不必要な推測を避け、明確なメインメッセージを提示し、曖昧または混乱する表現を除去しています。

2026/02/21 6:25

Dependabot をオフにします。

## Japanese Translation: ## 要約 DependabotはGoプロジェクトで細かいパッケージフィルタリングが不足しているため、頻繁に無関係なセキュリティアラートを生成します。著者はDependabotを停止し、最新の依存関係に対して`govulncheck`とテストスイートを実行するスケジュール済みGitHub Actionで置き換えることで、ノイズを劇的に減らしながらも実際の脆弱性は検出できることを示しています。重要な例として、`filippo.io/edwards25519`（v1.1.1）の修正が挙げられます。このパッチはDependabotのデフォルト動作により、関連しないリポジトリ―例えばWycheproof―でも何千件ものPRを生成しました。対照的に、`govulncheck`は静的解析後に脆弱なシンボルが到達不能であると判断し、著者のプロジェクトでは「脆弱性なし」と報告します。 Go Vulnerability Database はモジュール、バージョン、シンボル、CVE参照などの詳細メタデータを提供しており、こうした精密なフィルタリングを可能にしています。著者は毎日実行されるワークフロー（`go get -u -t ./...`）と10:22 UTCに実行される`govulncheck`を組み合わせ、真の脅威に対してのみアラートが上がるようにしています。 CI環境を潜在的なサプライチェーン攻撃から保護するため、ワークフローではgVisorを使用したサンドボックス化ステップ`geomys/sandboxed-step`を採用しています。この手法は、各依存関係のスケジュールではなくプロジェクト自身のリリースサイクルに合わせて依存関係を更新することを推奨し、継続的なバンプなしで早期検出を実現します。この戦略は、Go Security Team が2020–21年にデータベース品質と静的解析フィルタの改善に焦点を当てたものと一致しており、Geomys のリテーナー契約（Ava Labs、Teleport、Tailscale、Sentry）によって支援されています。著者は他の開発者にも同様のワークフローを採用するよう促し、Bluesky（@filippo.abyssdomain.expert）または Mastodon（@filippo@abyssdomain.expert）でフォローしてもらうことを読者に呼びかけています

2026/02/20 22:51

**Ggml.ai、Hugging Faceと提携しローカルAIの長期的進展を確保** - 軽量機械学習モデルのリーディングプロバイダーであるGgml.aiが、Hugging Faceとパートナーシップを結びました。 - 本協業は、世界中におけるローカルAIソリューションの継続的な開発・展開を確実にすることを目的としています。 - 両社は資源やベストプラクティス、コミュニティサポートを共有し、デバイス上で動作するインテリジェンスのイノベーションを加速させていきます。

## 日本語訳： > ggml.ai の創設者は、AI を真にオープンに保ちつつ、ggml/llama.cpp スタックのメンテナンスに専念するため、Hugging Face に参加します。このパートナーシップはプロジェクトの長期的な持続可能性を保証し、ユーザーと貢献者に新たな機会を提供します。これまでの 3 年間の協力により、コア機能・ユーザーインターフェース・マルチモーダルサポート・GGUF 対応が追加されました。Llama.cpp は多くのコンシューマーハードウェア上で動作するプライベート AI プロジェクトに不可欠となっており、コミュニティは依然として独自に構成設計を行い、Hugging Face はリソースを提供しつつコードを 100 % オープンソースのまま保ちます。今後、チームはユーザー体験を優先し、ggml/llama.cpp を Hugging Face の Transformers ライブラリに「ワンクリック」で統合し、ローカル推論がクラウドソリューションと競合できるようパッケージングを改善します。これらの取り組みは、使いやすいエッジ推論スタックを構築し、開発者に日常デバイス上でプライベート AI を構築するための安定した基盤を提供するとともに、世界中でオープンソーススーパインテリジェンスエコシステムを拡大することを目的としています。