1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. ハッカー集団・脅威アクターに関する動向
  5. Discordの招待リンクの脆弱性をハッカーがサイバー攻撃に悪用

Discordの招待リンクの脆弱性をハッカーがサイバー攻撃に悪用

セキュリティニュース

投稿日時: 更新日時:

Discordの招待リンクの脆弱性をハッカーがサイバー攻撃へ悪用

さまざまな場面で活用されているチャットツール「Discord」。その手軽さと信頼性から多くのユーザーに支持されていますが、そんなDiscordが今回、サイバー攻撃の“踏み台”として悪用される事例が確認されました。

Check Pointの調査によると、攻撃者たちはDiscordの「招待リンク」の仕様に目を付け、期限切れや削除済みのリンクを再利用することで、ユーザーを偽サーバーへ誘導するという新手法のサイバー攻撃を展開しています。特に、過去に公式サイトやSNS、掲示板に投稿された「信頼できるはずの招待リンク」が、今やマルウェア感染の入り口に変わってしまっているケースもあるといいます。

Discordのリンク仕様

Discordの招待リンクには大きく分けて3つの種類があります:

  1. 一時的な招待リンク:有効期限(例:30分、1時間、1日など)を設定できるもので、デフォルトで期限付き。
  2. 永久リンク:期限切れにならないリンクで、ユーザーが「期限なし」と明示的に設定することで生成される。
  3. カスタム(vanity)リンク:Level 3 Boostを受けたDiscordサーバーにだけ許可される機能で、管理者が自由な文字列をURLに設定できる。

問題は、これらのリンクの有効期限が切れたり削除されたりした後に発生します。

特に3のカスタムリンクは、元のサーバーがブースト資格を失うなどしてリンクが無効になると、そのリンク名が再び使用可能になります。このとき、第三者が同じ文字列のリンクを別のサーバーに対して再登録できるのです。

たとえば、あるゲームコミュニティが「https://discord.gg/mygame」というカスタムリンクを使っていたとします。

運営が何らかの理由でこのリンクを放棄した場合、攻撃者が「mygame」というリンク名を自分たちの悪意あるサーバーに再設定することが可能です。

結果として、過去に配布された正規のリンクが、今では偽サーバーに接続する“罠”に変わるのです。

さらに、一見無作為に見える通常の招待コードでも、文字列がすべて小文字と数字のみで構成されていれば、期限切れ後に再登録されてしまう可能性があります(例:discord.gg/yzqks3d)。

この仕様は、特に招待リンクの使い回しや過去のリンクの掲示が一般的なコミュニティにとっては非常にリスクの高いものと言えます。

手口は巧妙、ユーザーに「手動操作」を促す“ClickFix”

偽サーバーに誘導されたユーザーは、いかにもDiscord公式のように装った「認証」手順を提示されます。一見、どこにでもありそうな“ちょっとしたエラー”に見えるこの仕掛け。実はユーザーの手を借りて、自らの手でマルウェアを実行させる「ClickFix」と呼ばれるソーシャルエンジニアリングです。

例えば、見慣れたUIに「確認ボタン」が設置され、クリックするとブラウザが開き、「認証に失敗しました。手動操作が必要です」といった文言の画面が表示されます

手口は巧妙、ユーザーに「手動操作」を促す“ClickFix”フィッシングサイト

画像:Check Point

次にVerifyを選択するとPowerShellコマンドの実行を誘導されます。

手口は巧妙、ユーザーに「手動操作」を促す“ClickFix”PowerShellを起動させる

画像:Check Point

実際このアクションにより、ユーザーのコンピューターは Pastebin でホストされている PowerShell スクリプトをダウンロードして実行します。

https://pastebin[.]com/raw/zW0L2z2M

Pastebinは、ユーザーがプレーンテキストをオンラインで保存・共有できるパブリックWebサービスです。コードスニペット、ログ、設定データの共有によく使用されます。

多段階に渡る感染、狙いはリモート操作と仮想通貨ウォレット

この手法で実行されるPowerShellスクリプトは、前段の通りPastebinやGitHubなどの一見安全そうなクラウドサービスを介して、段階的にマルウェアをダウンロードさせます。これらの正規ツールを利用する事により、EDRやアンチウイルスソフトを回避し、悪意ある行動の検知を遅らせる事が可能です。

最終的に、リモート操作型トロイの木馬(AsyncRAT)や、仮想通貨ウォレットからの情報窃取を狙う「Skuld Stealer」と呼ばれるマルウェアが仕込まれます。

Skuld Stealerは、DiscordやWebブラウザの認証情報、仮想通貨ウォレットの復元用シードフレーズなど、極めて機密性の高い情報を盗み出します。しかも情報は、DiscordのWebhookを使って外部へ送信されるため、通常のセキュリティ監視では検知が難しいという厄介な特徴もあります。

さらに最新のバージョンでは、Chromeの新セキュリティ機能「Application-Bound Encryption(ABE)」を回避する手段として「ChromeKatz」というツールが導入され、ブラウザのメモリ空間から直接クッキーを盗み出す手口まで確認されています。

情報システム部門が取るべき対応

今回の一連の攻撃は、単なるフィッシングやマルウェア感染ではなく、「信頼していたインフラが逆に使われる」という根本的な認識の転換を迫るものでした。特に、企業の公式コミュニティ運営や技術フォーラムなどでDiscordを活用している組織にとっては、すでに公開済みの招待リンクの見直しが必要かもしれません。

具体的には、

  • 期限付きリンクを常に使用し、公開後も定期的に更新する
  • 「永久リンク」を設定する場合は、削除された後の挙動を理解しておく
  • Discord招待リンクをWebサイト等に掲載する際には、監視と定期的な動作確認を行う

などの対応が求められます。

また、仮想通貨関連の情報を扱うユーザーや組織は、ウォレットのセキュリティに加え、サードパーティアプリやチャットボットの認証範囲にも注意を払う必要があります。

最後に

Discordという信頼されたプラットフォームが、巧妙に“罠”として使われる時代が来ています。リンク1つで被害に遭う可能性がある今、セキュリティ担当者はもちろん、一般のユーザーにとっても「リンクをクリックする前に疑う習慣」が、これまで以上に重要になってきました。

 

参照

https://research.checkpoint.com/2025/from-trust-to-threat-hijacked-discord-invites-used-for-multi-stage-malware-delivery/

関連記事

WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063) 株式会社イセトーがランサムウェア感染と被害を発表イセトーのランサムウェアとサイバー攻撃による情報漏洩のまとめ 仮想通貨エアドロ「ハムスターコンバット」は世界的に1億5000万人がインストールされているとされています。ESETはこの「ハムスターコンバット」の偽のダウンロードページでマルウェアが配布されている事を警告しました。偽のハムスターコンバットでマルウェア配布を確認 Default ThumbnailWelcomeHRを運営するワークスタイルテックが約15万人の個人情報漏洩を発表 トロイの木馬化された「jQuery」がnpmやGitHubで拡散トロイの木馬化された「jQuery」がnpmやGitHubで拡散 ランサムウェア 事例解説|被害の内容をランサムウェアの種類別に紹介ランサムウェアの事例を解説 サイバー攻撃 事例【2023年】サイバー攻撃の事例【2023年】 Remogu(リモグ)を運営するLASSICが元顧客のICHIGOを提訴Remogu(リモグ)を運営するLASSIC(ラシック)が元顧客のICHIGOを提訴 DDoS攻撃とは?攻撃事例や防御策を解説DDoS攻撃とは?攻撃事例や防御策を解説