Discord(ディスコード)、不正アクセスで最大7万件の個人情報や本人確認書類画像が漏洩

セキュリティニュース

投稿日時: 更新日時:

Discord(ディスコード)、不正アクセスで最大7万件の個人情報や本人確認書類画像が漏洩

コミュニティプラットフォームのDiscord(ディスコード)は、外部のカスタマーサポート事業者が侵害され、サポート窓口を通じてやり取りした一部ユーザーの情報が不正に参照されたと発表しました。Discord本体のシステムが破られたわけではなく、被害は委託先に限定されると説明しています。

2025年10月8日の更新では、世界で約7万件のユーザーについて、年齢確認の再審査に用いられた政府発行ID画像が露出した可能性を確認したと明らかにしました。

概要

Discordによると、未承認の第三者が同社の外部カスタマーサポート事業者に侵入し、同窓口やTrust & Safetyチームとやり取りしたユーザーの情報にアクセスしました。発見後は直ちに委託先のチケットシステムへのアクセス権を無効化し、社内調査とデジタル・フォレンジックを開始。

関係当局への通報と、委託先を含む第三者管理の監査強化に着手しています。Discordのサービス内メッセージやアクティビティそのものにはアクセスされておらず、パスワードや認証情報、完全なクレジットカード番号やセキュリティコードも含まれていないと説明しています。

影響した可能性がある情報

影響はカスタマーサポートのチケットに付随するデータに及ぶ可能性があり、

氏名、Discordユーザー名、メールアドレスなどの連絡先、課金種別やカード下4桁、購入履歴、IPアドレス、サポート担当者とのメッセージ、社内の限定的な研修資料などが対象となり得ます。

さらに、年齢に関する異議申し立ての再審査のため、委託先が預かっていた政府発行IDの画像について、全世界で約7万件の露出を確認したとしています。該当者には個別にその旨を通知するとしています。

攻撃者側の主張と「Zendeskキャンペーン」報道

一方で、セキュリティ研究コミュニティ「Vx-Underground」などの報告では、攻撃者は身代金目的でDiscordに接触し、1.5TBに及ぶ政府ID画像(2,185,151枚)を窃取したと主張しています。

これらの主張は、サポート基盤として広く使われるZendeskを狙った一連の攻撃キャンペーンの一環だとする見立てとあわせて語られています。

ただし、Zendesk側は自社プラットフォームの脆弱性や侵害を否定しており、現時点で第三者の主張がすべて裏付けられたわけではありません。

Discordは「第三者ベンダーの侵害」とのみ説明し、特定の製品名やベンダー名には言及していません。