Discord(ディスコード)は2025年10月9日、外部カスタマーサービス(CS)ベンダーが不正アクセスを受け、Discordのサポート対応に関連する一部ユーザー情報が閲覧されたと公表しました。
Discordの説明では、当該ベンダーは「5CA」で、影響は「少数のユーザー」に限定される一方、約7万人の公的身分証画像が流出した可能性を指摘しています(年齢に関する異議申し立ての審査で利用)。
これに対し5CAは10月14日付の声明で、自社システムは侵害されておらず、当該クライアント(Discord)向けに公的身分証の取扱いもしていないと反論し、インシデントは自社外で発生した可能性を示しました。両者で事実認識に食い違いがあり、引き続きフォレンジック調査中です。
影響範囲(Discord発表ベース)
Discordが示した対象はカスタマーサポート関連システムにあるデータです。
氏名・Discordユーザー名・メールアドレス等の連絡先、支払い方法やカード下4桁、購入履歴といった限定的な請求情報、IPアドレス、サポート担当者とのやり取り、一部の研修資料や社内プレゼンが含まれる可能性があります。
さらに、年齢に関する異議申し立ての再審査のため、委託先が預かっていた政府発行IDの画像について、全世界で約7万件の露出を確認したとしています。該当者には個別にその旨を通知するとしています。
なお、通常のDiscordメッセージやアクティビティ、パスワード・認証情報、完全なカード番号やCVCは対象外と明確にされています。
このサイバー攻撃によるインシデントは、外部カスタマーサービス(CS)ベンダーである5CAが原因であると主張しています。
5CAの見解
5CAは声明で、自社システムは侵害されておらず、当該クライアント向けに政府発行IDを取り扱っていないと表明。
インシデントは5CAの外側で起きた可能性を示し、他クライアントや他システムへの影響も確認されていないとしています。
アクセス制御・暗号化・監視は通常どおり稼働しており、外部のサイバーセキュリティ専門家やエシカルハッカーと連携して調査を継続。人的ミスが関与した可能性にも言及しつつ、確定した事実は検証後に共有するという立場です。








