2025年10月3日、Discord はハッカーがサードパーティのカスタマーサービスおよびサポートプロバイダーの1つ(5CA)を侵害し、年齢確認に使用されるパスポートや運転免許証などの政府発行 ID の画像を少なくとも7万件盗んだ(新しいウィンドウ)とされると報告しました。
Discord によると、盗まれたその他の機密情報には以下が含まれます。
- サポートを受けるためにユーザーが提供した名前、Discord ユーザー名、メールアドレス、その他の連絡先の詳細。
- サポートエージェントとのメッセージまたは会話の記録(ユーザーがサポートチームと通信した内容など)。
- 支払い方法、購入履歴、クレジットカードの下4桁を含む、限定的な請求および支払いのメタデータ。
- サポートのやり取りに関連する IP アドレス。
- サポートシステムに保管済みのトレーニング資料や社内プレゼンテーションなどの「限定的な企業データ」。
また、以下の種類の機密情報にはアクセスされなかったと述べています。
- 完全なクレジットカード番号とセキュリティコード (CCV)
- ユーザーがカスタマーサポートと話し合った内容を超える Discord 上のメッセージやアクティビティ
- パスワードまたは認証データ
侵害は(新しいウィンドウ)、攻撃者がサポートエージェントのアカウントを侵害した後、9月20日に始まったと見られ(新しいウィンドウ)、彼らは約58時間にわたって Discord ユーザーデータにアクセスできました。Discord は影響を受けたすべてのユーザーに noreply@discord.com からメールで連絡しています。
攻撃の動機は完全に金銭的なものであるようで、ハッカーの当初の500万ドルの身代金要求は後に350万ドルに引き下げられました。Discord の広報担当者は The Verge(新しいウィンドウ) に対し、Discord は「違法行為の責任者に報酬を与えることはない」と語りました。
しかし、攻撃の範囲と誰に真の責任があるのかについては相反する報告があります。攻撃の犯行声明を出したサイバー犯罪グループ Scattered LAPSUS$ Hunters は、210万枚以上の政府 ID 写真を含む、550万人のユーザーから1.5テラバイトのデータを盗んだと主張しています。そして10月14日、Discord が侵害の責任があると主張しているサードパーティのカスタマーサポートサービスである 5CA は、Discord のために政府発行 ID を取り扱っていたことや、自社のシステムがハッキングされたことを(新しいウィンドウ)否定しました(新しいウィンドウ)(一方で、インシデントが人為的ミスに起因する可能性があることは認めています)。
では、なぜ Discord は政府 ID の写真を集めたのでしょうか?
英国の新しい年齢確認法(新しいウィンドウ)(およびオーストラリアで予定されている法)に準拠するために、Discord は顔のスキャンまたはスキャンされた ID(パスポートや運転免許証など)を使用した年齢確認の実験(新しいウィンドウ)を行ってきました。
通常、Discord はユーザーの自撮り写真を要求(新しいウィンドウ)し、ソフトウェアを使用して写真をスキャンして年齢を推定していました。その後、Discord はプロセスの最後に写真を削除していました。ハッキングされたとされるシステムは、異議申し立てプロセスの一部でした。
ユーザーが年齢が低すぎるとして誤って禁止されたと感じた場合、年齢を証明するのに役立つ政府発行 ID の写真を送信できました。盗まれたとされるのはこのデータです。そして、Discord の2億人のアクティブユーザーを考えると、そのごく一部でも異議申し立てプロセスを経なければならなかったとしたら、潜在的に何百万もの ID になる可能性があります。
主にゲーマーが使用するソーシャルメディアプラットフォームがこの情報を収集する必要性を感じているという事実は、子供をポルノから守ることを目的とした年齢確認法の任務拡大がいかに広がっているかを示しています。
身を守る方法
この侵害は、データがどのように保管され、保護され、共有されるかをほとんど把握できないまま、機密データの引き渡しを余儀なくされることが多いということを改めて思い出させるものです。すでに漏洩したデータを取り戻すことはできませんが、今後共有するデータを管理しようとすることはできます。その方法は次のとおりです。
- 機密データがどこにあるかを監査する:機密データ(ID など)を共有しなければならなかった場合は、プライバシーポリシーを既読にしてください。そのアカウントを使用しなくなった場合は、データを削除するオプションがあるかどうかを確認してください。
- 侵襲的なデータを必要としないサービスを使用する:これはますます難しくなっていますが、収集されないデータが漏洩することはありません。サービスが必要な場合は、収集するデータ、その目的、および保管期間について透明性(新しいウィンドウ)のあるサービスを探してください。
- オンラインでのデータ共有を最小限に抑える:サポートのやり取り中でも(サポートポータルを狙った最近の多くの攻撃を考えると、特に)、不必要な情報は共有しないでください。可能な限り VPN(新しいウィンドウ) とメールエイリアスを使用してください。
これが年齢確認にとって何を意味するか
多くのオンライン上の害(新しいウィンドウ)から子供を守る必要性は現実のものであるため、EU(新しいウィンドウ) からオーストラリア(新しいウィンドウ)、カナダ(新しいウィンドウ)に至るまで、世界中の政府が英国で新たに施行された年齢確認法に従おうとしていることは理解できます。
そのような法律が問題に対する最善の解決策であるかどうかは議論の余地があります(新しいウィンドウ)が、確かなことは、データ侵害があまりにも日常的になってしまい、また別の有名企業が何百万人もの人々の個人情報の詳細を漏洩させたというニュースの見出しにほとんど気付かなくなっているということです。
そして、特に機密性の高い年齢確認データがそのような漏洩から免れると想定する理由はありませんでした。このインシデントによって劇的に証明された点です。
これは、原則として年齢確認法に賛成だとしても、プライバシーを真に尊重する、真に安全で分散化されたオープンスタンダードなソリューションが開発され、広く利用可能になる前に実施すべきではないことを意味します。
