世界を動かす技術を、日本語で。

HNに聞く: PayPalの異議申し立てでスパム攻撃を受けているスタートアップ、どうすればよいですか?

2025年6月4日

概要

  • PayPal Commerce Platform を利用したマーケットプレイスでの不正購入・チャージバック被害の相談
  • 攻撃者は 自動化ブラウザ・IP変更・未検証アカウント を使用
  • PayPalサポートの対応が不十分 で、根本的な解決が困難
  • 動機・目的が不明 で、対策に苦慮
  • 類似事例や 追加対策・アドバイス を求めている状況

PayPal Multiparty APIを悪用した自動化不正購入・チャージバック事例

  • 攻撃者の特徴 ・常に同じ2つのドメインからの 新規メールアドレス 使用 ・ 未認証PayPalアカウント による決済 ・ 少額・デジタル商品 に対する購入 ・購入後 数時間以内に全て異議申し立て (チャージバック)

  • 攻撃の手法 ・API経由ではなく、 ブラウザ経由で自動化IPアドレスを都度変更 し、検知回避 ・アクセスログからも 高頻度なボットトラフィック を確認 ・ 変動を加えつつ繰り返し購入、検知を回避

  • PayPalサポートの問題点サポート対応が遅く、定型文中心 ・Multiparty APIに対する 理解不足電話サポートはアカウント関連性を認識せず対応不可各出品者ごとに個別対応を求められ、全体像が伝わらない

攻撃者の動機・狙いの考察

  • 単なる嫌がらせ行為 の可能性
  • チャージバック詐欺 によるPayPalや出品者の信用低下狙い
  • システムの脆弱性調査や自動化ツールのテスト
  • 競合他社による妨害行為 の可能性も

追加で検討すべき対策・アドバイス

  • フロントエンド・フォームの追加防御策reCAPTCHAhCaptcha の導入で自動化防止 ・ JavaScript難読化・動的トークン でボット対策 ・ メールドメインのブラックリスト化、同一ドメインからの連続購入制限 ・ 未認証PayPalアカウントからの購入制限 (PayPal設定で可能か要確認)

  • ネットワーク・ログ監視強化異常なIP・UAパターンの自動ブロックアクセス頻度やパターンをリアルタイム監視 し、即時遮断

  • PayPal側への働きかけビジネスアカウント担当者 へ直接エスカレーション ・ APIログ・被害状況をまとめたレポート を提出し、再調査依頼 ・ 複数の被害者で共同して要望書提出 も有効

  • 法的措置・第三者相談サイバー犯罪対策窓口弁護士相談 でアドバイス取得 ・ 業界団体やセキュリティコミュニティ で類似事例の共有・情報収集

  • ユーザー・出品者への注意喚起チャージバック被害の説明・注意喚起不審な取引パターンの共有 と協力要請

類似事例・参考情報

  • 海外フォーラムやGitHub上でも同様のMultiparty API悪用事例 報告あり
  • PayPal Commerce Platform はマーケットプレイス型でチャージバックリスクが高いとの指摘多数
  • サードパーティの不正検知サービス (例:Sift, Riskified, Signifyd等)導入で被害減少の事例

まとめ・推奨アクション

  • 多層的なボット・不正対策 の強化が必須
  • PayPalへのエスカレーションと記録保存 を継続
  • 業界内の情報共有第三者の専門家相談 も検討
  • 根本的な動機特定は困難 だが、被害最小化と再発防止策の徹底が重要

Hackerたちの意見

おそらく、盗まれた/ハッキングされたPayPalアカウントをテストしてるんだと思う。オーナーが何かおかしいとは気づかないように、まずは小さなトランザクションで争いを起こしてるんじゃないかな。残念ながら、PayPalではアカウントの所有権を確認する方法がないんだよね(3DSみたいな)。以前、私たちも似たようなことがあって、PayPayサポートと1年以上も誰が費用を負担するかで揉めた結果、結局PayPalの支払いを停止したよ。もっといい方法があればいいんだけど、ごめんね。

PayPal以外で、これらの問題がないサービスに切り替えたのは何?

手数料で「保証」(またはブロック)してくれるサービスってあるの?とにかく、これは支払いサービスの主な責任だよね!!商人に簡単に負担を押し付けるなんて、ちょっとおかしいよ。

アカウントの所有権を確認する方法がない(3DSのように) 3DSは2FAで、PayPalには確実にあるけど、顧客を保護するために2FAに関係なく対応してるんだよね。

数年前からオンライン決済に関わってないから、参考程度に聞いてほしいけど、同意するよ。PayPalは店舗にとって最悪の決済ソリューションかもしれない。サポートはひどいし、全然役に立たないし、アカウント管理は他の決済ソリューションと比べて非常に複雑だった。PayPalに関する私たちのルールは、毎日PayPalアカウントから全てを移動させること。彼らに資金を保持させないようにしよう。いつかアクセスをブロックされるから。彼らが触れることができる金額を最小限に抑えることも大事だよ。あと、小額の支払いにはPayPalを使わないように。これで、盗まれたアカウントの確認源として利用されるのを防げるから。私が関わった中で、同じレベルの無能さを持っていたのはKlarnaだけだった。Klarnaは当時、詐欺の概念を理解していなかった。スウェーデンだから、スウェーデンではほとんど詐欺を防いでいたからね。一度人々がそのシステムを突破して、Klarnaがスウェーデン以外に拡大したら、彼らは諦めて、私たちに請求しようとした。契約には彼らが支払いを回収する責任があると明記されていたのにね。

投稿を読んで最初に思ったのは「PayPalは使わない方がいい」ってこと。オンラインマーケットプレイスや複数の売り手、クレジットカードの取引とか…もう十分大変なのに、扱いがひどい業者に依存しちゃダメだよ。

自動チャージバックの悪用みたいだね。カードテストか、単に支払い/争いの仕組みを利用しようとしてるのかも。私たちも似たようなことに対処したことがあるよ。役立ったことをいくつか挙げると、 – ブラウザフィンガープリンティング(FingerprintJSとか、基本的なユーザーエージェント+行動トラッキング) – フルヘッダーとTLSフィンガープリントをログに残す — IPは回転するけど、他のパターンが漏れることもある – 支払いフローに少しの摩擦を加える(軽いCAPTCHAやJSチャレンジなど) – タイミングパターンを見てみる — 自動化は厳密な間隔で動くことが多い PayPalのサポートは、型にはまったもの以外は遅いことで有名だから、merchanttechsupport@paypal.comにメールしてみて。エスカレーションされたケースでは、彼らの方が役に立つことが多いよ。こういうことは思っているよりも一般的で、特にデジタル商品を売っているプラットフォームではよくあることだよ。

ここにいる他のコメント者たちも、合理的な対策を提案してるね。一つアドバイスをすると、PayPalはリスクがあると見なした商人アカウントを容赦なくバンするから、早めに解決するか、別のPSPにすぐ切り替えられるように計画しておいた方がいいよ。たとえビジネスがバンされなくても、マルチパーティベンダー(適切な用語があれば教えて)も影響を受けるかもしれないから。

最近、似たようなことがあったよ。一部のIPアドレスはプロキシやデータセンターだったけど、そうじゃないのも多くて、ボットネットかもしれないと思った。ユーザーエージェントも一般的なものだったから、簡単にはバンできなかった。フィンガープリンティングとレートリミティングを追加したら、問題は解決したみたい。彼らは大量のアカウントやクレジットカード番号をテストしようとしてるから、最善の戦略は彼らを遅らせて、規模的に見合わないようにすることだね。

「住宅プロキシ」にアクセスを売ってる会社がたくさんあるよね。

今、ボットネットと戦ってるところなんだけど、彼らは自動的に適応して、呼び出しを信じられないほど多くのIPに分散させて、すべてCloudflareで良いJA4フィンガープリントを持ってたんだ(侵害されたか育成された「ユーザー」)。ブロックするものが何もなかったよ。高カウントのJA4をターゲットにして、一時的にそれをブロックし始めたんだ。これで、彼らは自動的に止まることが多かった。非常に洗練されたLLM対応のレンタルマフィアボットネットだった。攻撃のアプローチをいろいろ工夫して、こちらが圧力をかけると、彼らもそれに応じてきた。最終的には、認証フロー全体を再構築することになった。過去の誤った製品や管理の決定から、たくさんの匿名エンドポイントやカード番号を検証するエンドポイントがあったからね。最終的には、時々多くの正当なトラフィックをブロックしなきゃいけなかった。ユーザーの摩擦を減らすことは、スケールされたボット攻撃の摩擦も減らすから。

「サービス料」を設定すれば解決するんじゃない?取引するための返金不可の金額を。

Hacker Newsで議論の続きを見る