年齢確認企業のハッキングにより、7万人のDiscordユーザーのID写真が流出した可能性

侵害の詳細：何がいつ起こったか

2025年10月3日、Discordは、第三者のカスタマーサービスプロバイダーである5CAの1つに不正なエンティティがアクセスしたことを開示しました。9月20日頃に始まったこの侵害は、サポートエージェントのアカウントを侵害し、ハッカーが約58時間にわたってDiscordユーザーデータにアクセスできるようにしました。攻撃者は、年齢確認のためにユーザーが提出した政府発行のID（パスポートや運転免許証など）の画像を少なくとも7万枚盗んだとされています。また、犯人は影響を受けた企業から身代金を脅し取ろうとしていると報告されています。

どのようなデータが流出したか？

ID写真に加えて、この侵害により、ユーザーの名前、メールアドレス、連絡先情報、IPアドレス、Discordのカスタマーサポートとのやり取りが流出した可能性があります。幸い、完全なクレジットカード情報やパスワードにはアクセスされていません。しかし、範囲は依然として議論の余地があります：責任を主張するサイバー犯罪グループScattered LAPSUS$ Huntersは、550万人のユーザーから1.5テラバイトのデータを盗み、その中には210万枚以上のID写真が含まれていると主張しています。一方、Discordは、全世界で影響を受けたユーザー数は約7万人であると主張しています。

Discordでの年齢確認の仕組み

異議申し立てのための写真ID方式

Discordは、ユーザーが未成年であるためにロックアウトされた場合や、年齢制限のあるサーバーにアクセスする場合に年齢確認を要求します。ユーザーは、政府発行のID（生年月日が表示されているもの）とDiscordのユーザー名が書かれた紙を一緒に持った自分の写真を提出できます。この1枚の写真は、サポートフォームを介してDiscordのトラスト＆セーフティチームに送信されます。提供された情報は年齢確認のみに使用され、他の目的には使用されません。

k-IDによる自動年齢確認

一部の地域では、Discordはk-IDと提携して自動年齢確認を行っています。ユーザーはビデオ自撮りを撮影し、それがデバイス上で処理され、年齢推定後すぐに削除されます。Discordは、同社もk-IDも顔スキャンを保存しないと主張しています。自動確認が失敗した場合、ユーザーは写真ID方式に頼らなければなりません。

この侵害が発生した理由：データ保持の問題

情報筋によると、この侵害は、Discordが確認後すぐにユーザーのID写真を削除しなかったために発生しました。自撮りをデバイス上で処理しすぐに削除するk-IDのシステムとは異なり、DiscordのサポートシステムはID画像を数か月間保持していました。この保持期間により、ハッカーがデータにアクセスして流出させることが可能になりました。ハッカーはDiscordのサポートポータルにアクセスしたと報告されており、k-IDシステムにはアクセスしておらず、データ取り扱い慣行における重大な脆弱性が浮き彫りになりました。

ユーザーのプライバシーと将来の確認への影響

この事件は、機密性の高い生体データの集中保存に内在するリスクを浮き彫りにしています。英国の年齢確認法などの規制により、Discordが年齢確認を世界的に拡大する中、この侵害は警告の物語として機能します。デバイス上処理を使用した自動年齢確認はリスクを軽減しますが、写真IDによる異議申し立て方法は依然として脆弱です。ユーザーは、データが速やかに削除されることを信頼する必要がありますが、その信頼は破られました。今後、Discordや他のプラットフォームは、同様の流出を防ぐために、より厳格なデータ最小化と保持ポリシーを採用する必要があります。

Discordユーザーが今すぐ行うべきこと

Discordは、noreply@discord.comから影響を受けたユーザーにメールで連絡しています。そのようなメールを受け取った場合は、その信頼性を確認し、指示に従ってください。公式チャネル以外で重複チケットを送信したり、ID写真を共有したりしないでください。将来の侵害が心配な場合は、使い捨てまたは限定目的のIDの使用を検討し、アカウントに不審な活動がないか監視してください。この事件は、データ保持とサードパーティベンダーのセキュリティに関するより強力な法律の必要性を浮き彫りにしています。