チャットプラットフォームのDiscordは、ハッカーがサードパーティのカスタマーサポートプロバイダーに侵入した後、ユーザー情報が漏洩したデータ侵害を確認した。この事件は、グーグル、アリアンツ、ファーマーズ、ディオールなどの大手企業に影響を与えた、2025年に報告された一連の侵害事件の最新のものである。 Discord は声明の中で、この侵害が 2025 年 9 月 20 日に発生したことを認めました。同社は、この事件は自社のサーバーに対する直接的な攻撃ではないと明言しました。その代わりに、攻撃者は Discord のサードパーティ カスタマー サービス プロバイダーの 1 つである 5CA に不正アクセスしました。これにより、攻撃者は、以前に Discord のカスタマーサポートまたは Trust & Safety チームに連絡したユーザーに属するデータを閲覧することができました。 Discord はテキスト メッセージ、音声チャット、ビデオ通話に使用されるアプリケーションで、月間ユーザー ベースは 2 億人を超えています。主にゲーマーによって使用されていますが、そのユーザーベースは他のさまざまなコミュニティを含むように拡大しています。公開されたデータには、Discord のユーザー名、本名、電子メール アドレス、IP アドレス、カスタマー サービス エージェントと交換されたメッセージの内容が含まれます。支払いタイプやクレジット カード番号の下 4 桁など、限られた請求詳細も侵害されました。一部のユーザーにとって、年齢確認目的で提供された政府発行の ID 画像も流出データの一部でした。 Discord は、世界中で約 70,000 人のユーザーが政府の ID 写真を攻撃で侵害されたと推定しています。 Scattered Lapsus$ Hunters (SLH) として知られる脅威グループが、この攻撃に対する犯行声明を出しました。報告によると、このグループはそのアクセス権を利用して Discord に身代金を要求しようとしたとのことです。 SLH はまた、10 億件を超える Salesforce レコードを所有していると主張しており、それに対して別途身代金を要求していると伝えられています。 Discord は、最初の事件から 13 日後の 2025 年 10 月 3 日にこの侵害を一般に公開しました。同社の対応には、サードパーティプロバイダーによる自社システムへのアクセスの停止、デジタルフォレンジックチームによる内部調査の開始、影響を受けたユーザーへの通知プロセスの開始などが含まれていた。 Discordは、この侵害に関するすべての公式連絡は電子メールアドレス[email protected]から送信され、この問題についてユーザーに電話で連絡することはないと述べた。同社はまた、特定の機密情報は公開されないとも明記した。これには、完全なクレジット カード番号、CCV セキュリティ コード、アカウント パスワード、およびカスタマー サポートとの会話以外のユーザー アクティビティが含まれます。 Discord は、関連するデータ保護当局に通知し、法執行機関と協力し、セキュリティとプライバシーの基準を強化するためにサードパーティ ベンダーの監査を開始しました。自分の詳細が公開された可能性があると思われるユーザーは、いくつかの安全対策を講じることをお勧めします。推奨事項には、2 要素認証を有効にすること、すべてのアカウントに強力で一意のパスワードを使用すること、不審なアクティビティがないかアカウントを積極的に監視することなどが含まれます。さらに、ユーザーは迷惑メール、メッセージ、リンクに注意する必要があります。評判の良いウイルス対策ソフトウェアを使用する。デバイスとソフトウェアを常に最新の状態に保ちます。デジタル フットプリントを削減するために、個人データ削除サービスを検討してください。
Source: Discord、5CA経由のデータ侵害を確認、7万IDが流出
