ハッカーが主張、Discordの侵害で550万人のユーザーデータが流出
Discordの侵害:何が起こったのか、ユーザーが知っておくべきこと
2025年10月、Discordはカスタマーサポートおよびトラスト&セーフティチームとやり取りしたユーザーに影響を与える重大なデータ侵害を開示しました。同社は当初、約7万人のユーザーが政府発行のID写真などの機密データを流出させた可能性があると報告しましたが、ハッカーは550万人のユーザーに属するデータを盗んだと主張しています。この食い違いは懸念と混乱を引き起こしています。Discordは、この侵害はプラットフォームへの直接的な攻撃ではなく、サードパーティのカスタマーサービスプロバイダーである5CAの侵害であると述べています。
攻撃者はDiscordのサポートチームが使用するチケットシステムにアクセスし、メッセージ、ユーザー名、メールアドレス、場合によっては限定的な請求情報や年齢確認のために提出された政府発行のID画像にアクセスしました。Discordはプロバイダーのアクセスを即座に取り消し、フォレンジック会社と協力して調査を開始し、法執行機関と連携しています。
Discordの侵害ではなく、サードパーティのインシデント
Discordは自社のシステムは侵害されていないと断言しています。代わりに、攻撃はサードパーティのカスタマーサービスプロバイダーである5CAを標的にしました。これはデータ侵害の一般的なベクトルであり、攻撃者はサプライチェーンの最も弱いリンクを悪用します。不正な第三者は、Discord自身のコードの脆弱性を悪用するのではなく、ソーシャルエンジニアリングの戦術を用いてDiscordのサポートチケットシステムにアクセスしました。この区別は重要です。Discordのコアなメッセージングおよび認証システムは安全なままでした。しかし、サポートに連絡したユーザーについては、データが流出しました。このインシデントは、第三者とのデータ共有のリスクと、厳格なベンダーセキュリティ監査の必要性を浮き彫りにしています。
流出した機密データ:ID、請求情報など
この侵害により、主にDiscordのカスタマーサポートまたはトラスト&セーフティチームと連絡を取ったユーザーのさまざまなデータが流出しました。流出したデータには以下が含まれます:
- 氏名、Discordユーザー名、メールアドレス、サポートに提供されたその他の連絡先情報
- 支払い方法、クレジットカードの下4桁、購入履歴などの限定的な請求情報
- IPアドレス
- サポート担当者と交換したメッセージ
- 年齢判定に異議を申し立てた約7万人のユーザーの政府発行ID画像
注目すべきは、パスワード、完全なクレジットカード番号、ユーザー間のプライベートメッセージは流出していないことです。ID写真は特に懸念事項であり、個人情報の盗難に使用される可能性があります。Discordは影響を受けたユーザーに「noreply@discord.com」からメールで通知すると述べています。
ハッカーの主張:550万対7万
Scattered Lapsu$ Hunters(SLH)として知られるグループとされるハッカーは、Discordが認めた約7万人をはるかに超える550万人のユーザーのデータを盗んだと主張しています。また、1.5テラバイトのデータを保有しているとも主張しています。Discordはこれらの主張を「不正確であり、金銭を脅し取ろうとする試みの一部」として退けています。しかし、セキュリティ専門家は、攻撃者がより広範囲のサポートチケットにアクセスした場合、実際の影響を受けたユーザー数はさらに大きくなる可能性があると指摘しています。Discordは詳細な内訳を提供しておらず、不確実性が残っています。ユーザーは警戒を怠らず、過去にDiscordサポートに連絡したかどうかを検討する必要があります。
ハッカーは誰か?
このグループは、Scattered Spider、Lapsu$、ShinyHuntersの戦術を組み合わせた連合体とされています。彼らはマルウェアではなくソーシャルエンジニアリングに依存し、より大きな標的にたどり着くためにサードパーティのベンダーを標的にしています。これはサイバー犯罪の増加傾向であり、堅牢な防御を回避するために、よりセキュリティの低いパートナーを狙います。
Discordの対応:迅速な行動と次のステップ
Discordは侵害を発見後、迅速に行動しました。サードパーティプロバイダーのアクセスを取り消し、専門のフォレンジックサポートを受けて内部調査を開始し、法執行機関と連携しました。また、関連するデータ保護当局に通知し、影響を受けたユーザーへの連絡を進めています。Discordは電話で連絡することはなく、公式の連絡は「noreply@discord.com」からのみであるとユーザーに保証しています。影響を受けていないユーザーはアクションは不要です。ただし、Discordはすべてのユーザーに不審なメッセージやメールに注意するよう推奨しています。
ユーザーへの教訓:侵害後に身を守る方法
このインシデントは、プラットフォーム自体が安全であっても、サードパーティの統合が脆弱になり得ることを思い出させます。以下はユーザーが取るべき手順です:
- フィッシングの試みに注意: Discordを装った予期しないメールやメッセージ、特に個人情報を求めるものに注意してください。
- ユニークなパスワードを使用: Discordアカウントで二要素認証を有効にしてください。
- サポートとのやり取りを確認: Discordサポートと機密データを共有した場合は、個人情報の盗難に特に注意してください。
- 金融口座を監視: 完全なクレジットカード番号は流出していませんが、限定的な請求情報が標的型攻撃に使用される可能性があります。
Discordは、年齢確認のために侵害されたシステムを今後使用せず、k-IDやPersonaなどの専任ベンダーに移行すると述べています。また、リスクを最小限にするために、確認後に政府発行のID画像を削除するとしています。
大局:サードパーティリスクとデータプライバシー
この侵害は、デジタルエコシステムにおけるサードパーティリスクの増大する課題を浮き彫りにしています。Discordのような企業は強力な内部セキュリティを持つことができますが、単一のベンダーが弱い管理しか持たない場合、何百万ものユーザーを危険にさらす可能性があります。このインシデントは、機密性の高い生体認証データの収集を必要とする年齢確認システムに関する議論も再燃させています。デジタル権利活動家は、そのようなシステムが攻撃者にとってのハニーポットを作り出すと警告しています。ユーザーにとっての教訓は、特に機密性の高いIDについて、オンラインサービスと共有する情報を慎重に判断することです。Discordや他のプラットフォームがセキュリティ慣行を進化させ続ける中、このイベントは今後、サードパーティベンダーの審査と管理方法に影響を与えるでしょう。