Discord、サポートベンダーハックによるユーザーデータと政府IDの流出を確認

Discordデータ漏洩の経緯

2025年10月初旬、Discordは、カスタマーサポートまたはトラスト＆セーフティチームに問い合わせたユーザーに影響を与える、第三者カスタマーサービスベンダーに関わる重大なセキュリティインシデントを確認しました。2025年9月20日に発生したこの漏洩は、Discordの内部システムへの直接的な侵入ではなく、ベンダーのサポートチケット環境の侵害によるものでした。攻撃者は自身をScattered Lapsus$ Hunters（SLH）と名乗り、約1.6テラバイトのデータを流出させました。これには、機密性の高いユーザー情報や、年齢確認の異議申し立てに使用される政府ID画像が含まれています。

漏洩経路として名指しされたベンダー5CA

Discordは、オランダに拠点を置くカスタマーエクスペリエンス企業5CAを、環境が侵害された第三者プロバイダーとして公に名指ししました。2025年10月9日のDiscordの更新声明によると、不正な第三者が5CAのサポートチケットシステムにアクセスし、内部ダッシュボード、支払い詳細、政府ID写真に侵入しました。しかし、5CAはすぐに否定し、自社のシステムは侵害されておらず、Discordの政府発行IDを扱っていないと主張しました。この矛盾は混乱を招き、5CAはインシデントが直接的なシステム侵害ではなく、人為的ミスに起因する可能性があると示唆しています。

流出したデータは？

盗まれたデータには、名前、Discordユーザー名、メールアドレス、IPアドレス、カスタマーサポートのやり取りのトランスクリプトが含まれます。さらに深刻なことに、Discordは約7万人のユーザーの政府ID画像（運転免許証やパスポートなど）がアクセスされた可能性があると特定しました。限られた請求情報（支払い方法、クレジットカードの下4桁、購入履歴）も漏洩しました。Discordは、完全なクレジットカード番号、パスワード、サポートチャネル外のプライベートメッセージは安全であると保証しました。

ハッカーグループとその要求

Scattered Lapsus$ Hunters（SLH）として知られる脅威アクターが犯行を主張しました。これは、Scattered Spider、Lapsus$、ShinyHuntersの戦術を組み合わせた連合体であり、これらのグループは第三者ベンダーを標的にすることで悪名高いです。SLHはDiscordに身代金を要求し、最初は200万枚以上の政府ID写真を保持していると主張しましたが、Discordの内部調査では約7万枚と確定しました。Discordは身代金の支払いを拒否し、法執行機関が犯人追跡に関与しました。

Discordが取った即時対応

発覚後、Discordはベンダーのチケットシステムへのアクセスを即座に取り消し、パートナーシップを終了しました。同社は大手コンピュータフォレンジック会社とともに内部調査を開始し、関連するデータ保護当局に通知しました。影響を受けたユーザーにはnoreply@discord.comからメールで連絡が行われ、Discordはセキュリティ問題についてユーザーに電話をかけることは決してないと強調しました。また、中核インフラは侵害されていないと繰り返し述べました。

ユーザーと業界への教訓

このインシデントは、攻撃者がセキュリティの低いサードパーティパートナーを悪用するサプライチェーン攻撃のリスクを浮き彫りにしています。Discordユーザーにとって、この漏洩は強力なパスワードと二要素認証を有効にしてアカウントを保護することの重要性を強調しています。また、正当な異議申し立てであっても、政府IDなどの機密情報の共有には注意が必要です。Discordと5CAの声明の矛盾は、業界全体でのより透明性の高いベンダーリスク管理と堅牢なインシデント対応プロトコルの必要性を示しています。