Discord:攻撃者が約7万人のユーザー写真付きIDにアクセス
サードパーティベンダーの侵害でユーザーデータが流出
Discordは最近、不正な第三者がカスタマーサービスプロバイダーである5CAを侵害し、約7万人のユーザーの公的身分証明書写真が流出したことを明らかにしました。この侵害は2025年9月20日に発生し、年齢確認やサポート異議申し立てに使用されるベンダーが標的となりました。Discordは自社のプラットフォームは侵害されていないとすぐに説明し、攻撃はサードパーティプロバイダーに集中していました。インシデント発覚後すぐに、Discordはベンダーのチケットシステムへのアクセスを無効化し、内部調査を開始し、法執行機関に通報しました。同社は影響を受けたユーザーにメールで連絡を進めており、公式連絡はnoreply@discord.comからのみ送信されます。
どのデータがアクセスされたか?
流出したデータはカスタマーサービスシステムで処理された情報に限定されています。これには、サポートチームに提供された名前、Discordユーザー名、メールアドレス、その他の連絡先情報が含まれます。さらに、支払い方法、クレジットカード番号の下4桁、購入履歴などの限られた請求情報もアクセスされた可能性があります。カスタマーサービス担当者とのやり取りのIPアドレスやメッセージ内容も流出しました。最も重大な点として、運転免許証やパスポートなどの公的身分証明書画像の一部が侵害されました。Discordは、完全なクレジットカード番号、CVVコード、パスワード、サポート以外のユーザー活動は関与していないと強調しました。
ユーザーと年齢確認への影響
影響を受けたユーザーは主に、Discordのカスタマーサポートまたはトラスト&セーフティチームに連絡した人、特に年齢関連の異議申し立てを行った人です。規制を遵守するため、Discordはユーザーに公的身分証明書をアップロードして年齢確認を行うよう求めています。このプロセスは5CAのようなサードパーティベンダーに委託されており、侵害の経路となりました。攻撃者は約7万人のユーザーのID写真にアクセスし、氏名、生年月日、住所などの機密個人情報が含まれています。これにより、漏洩データが個人情報窃盗やストーキングに悪用される可能性があるため、重大なプライバシー上の懸念が生じています。Discordは、影響を受けたユーザーには自分のIDがアクセスされたかどうかを詳細に記したメールが届くと述べています。
Discordの対応とセキュリティ対策
Discordは迅速に行動し、サードパーティプロバイダーのアクセスを無効化し、大手コンピュータフォレンジック会社を雇い、関連するデータ保護当局に通知しました。同社は攻撃の調査のために法執行機関と緊密に協力しており、身代金要求が行われました。Discordは身代金を支払わないと述べ、これを違法行為と呼んでいます。今後、Discordはサードパーティシステムの監査をより頻繁に行い、セキュリティとプライバシーの基準を満たしていることを確認する予定です。また、同社はすべてのユーザーに対し、この侵害に関連するフィッシングの試みの可能性がある不審なメッセージや通信に注意するよう推奨しています。
公式連絡チャネル
Discordは、影響を受けたユーザーにはnoreply@discord.comからのメールのみで連絡すると警告しています。ユーザーは、侵害について主張する他のアドレスからの電話やメールに注意する必要があります。同社は侵害されたベンダーの身元を明らかにしていませんが、報告によると英国のカスタマーサービス会社5CAであったことが確認されています。Zendeskなどの他のサードパーティプロバイダーは、自社のシステムは関与していないと述べています。
コミュニティと専門家の反応
この侵害は、Discordの2億人のユーザーの間で広く議論を引き起こし、多くの人が機密性の高いIDデータの取り扱いに懸念を表明しています。一部のオンラインコメンテーターは、侵害が開示されたよりも広範囲に及ぶ可能性があると示唆していますが、Discordはこれらの主張を否定し、恐喝の試みに過ぎないとしています。セキュリティ専門家は、このインシデントが年齢確認をサードパーティに委託するリスクを浮き彫りにしていると指摘しています。侵害から得られたとされる100枚以上のID画像がTelegramチャンネルに流出したことは、個人情報漏洩の現実的な危険性を強調しています。DMCAや年齢確認のためにIDを提出したユーザーは特に脆弱であり、住所が危険にさらされる可能性があります。
ユーザーが次に取るべき行動
このインシデントについてDiscordからメールを受け取った場合は、詳細を注意深く確認してください。Discordのパスワードを変更し、まだ有効にしていない場合は二要素認証を有効にしてください。特にDiscordに請求情報をリンクしている場合は、金融口座に不審な活動がないか監視してください。侵害を参照するフィッシングの試みには特に注意してください。ID写真が流出したユーザーは、信用情報に詐欺警告を発行し、個人情報窃盗を関連当局に報告することを検討してください。Discordは引き続き法執行機関と協力していますが、個人の警戒が潜在的な被害を軽減する鍵です。