PayPayサーバーに不正アクセス、2千万件の情報が被害に

PayPayは2020年12月1日に外部からの連絡に基づき、サーバー内の加盟店に関する情報のアクセス履歴を調査してところ、11月28日にブラジルからのアクセス履歴を1件確認したことが分かりました。

不正にアクセスされた可能性のある情報

(1)加盟店の店名、住所、連絡先、代表者名、代表者生年月日、契約日、売上振込先、営業対応履歴

(2)加盟店営業先の店名、住所、連絡先、代表者名、営業対応履歴

(3)当社従業員の氏名、所属、役職、連絡先

(4)当社パートナー・代理店の社名、連絡先、担当者名、売上振込先

(5)加盟店向けアンケート回答者の氏名、電話番号、メールアドレス

上記の加盟店情報が2,000万件以上不正にアクセスされていたとみられています。

不備のあった期間は2020年10月18日～12月3日の約1か月半程で、アクセス権限の不備により、外部から侵入できる状態だったとPayPayは述べています。

なお、今回の加盟店情報のみが不正アクセスされたとみられ、ユーザー情報は別サーバーで管理されており、今回の不正アクセスによる被害は発生していません。

PayPayは今後アクセスモニタリングやシステム変更時の監視を強化し今回の事象を重く受け止め、再発防止に努めるとコメントしています。