人気チャットプラットフォーム「Discord(ディスコード)」が、ユーザー7万人分の個人情報が流出した可能性があると発表しました。
原因は、同社がカスタマーサポート業務の補助に使用していたサードパーティーサービスへの不正アクセスによるものです。
📰 公式発表:Update on a Security Incident Involving Third-Party Customer Service
Discordは、「本体のシステムへの侵入は確認されていない」としつつも、影響を受けた可能性のあるユーザーに対し、注意喚起メールを順次送付しています。
⚠️流出した可能性のある情報一覧
今回の不正アクセスにより、流出した可能性がある情報は以下の通りです:
- ユーザー名・Discord ID
- メールアドレス・連絡先情報
- クレジットカード番号の下4桁や購入履歴
- アカウントに関連する請求情報
- IPアドレス・サポートとのメッセージ内容
- 年齢確認時に提出された身分証明書の画像(運転免許証やパスポート)
Discordによると、影響を受けたのはカスタマーサポートまたは「信頼と安全性チーム」と連絡を取ったことのある7万人。
一方で、以下の情報は漏えいしていないと明言しています。
- クレジットカード番号の全桁およびCCVコード
- Discord内のメッセージやサーバー活動
- パスワード・ログイン認証情報
🕵️♂️不正アクセスの経緯:第三者サービス「Zendesk」が標的に
サイバーセキュリティ研究者のvx-underground氏によると、今回の不正アクセスを受けたのは、Discordが利用していた**「Zendesk(ゼンデスク)」**というカスタマーサポート管理ツール。
攻撃者はこのZendeskインスタンスに侵入し、
- 合計1.5TB(約218万枚)の身分証明書画像データ
- 研修資料や社内プレゼンテーション資料
を入手したと報告しています。
流出ファイルには運転免許証やパスポートなど、年齢確認のために提出された画像が多数含まれていたとされています。
💰攻撃者はDiscordを恐喝、Discordは「支払いを拒否」
vx-underground氏によると、攻撃者はDiscordに対し「データを公開しない代わりに金銭を支払え」と要求。
しかし、Discordは**「金を払うつもりはない」**と公式に声明を出し、脅迫には応じない姿勢を明確にしています。
「Discordは攻撃者と取引しません。私たちは被害者の安全を最優先に、法執行機関と協力して対応しています。」
同氏はまた、この攻撃が2025年8月頃から世界的に発生していたZendesk関連の不正アクセスの一環だと分析しています。
🧩Discord利用者が今できるセキュリティ対策
今回の事件は、サードパーティー経由の情報漏えいリスクの高さを改めて浮き彫りにしました。
ユーザーは以下の対策を取ることで、二次被害を防ぐことができます。
✅ Discordや他サービスで同じパスワードを使い回さない
✅ 二段階認証(2FA)を有効化する
✅ 不審なメール・リンク・DMを開かない
✅ 年齢確認書類の提出時は安全な送信経路を確認する
また、Discordのアカウント設定ページでログイン履歴やセッション情報をチェックすることも推奨されます。
🧠まとめ:安全なチャット環境を守るために
今回の情報流出は、Discord本体ではなく外部委託先の脆弱性によって引き起こされたものでした。
しかし、提出した個人情報や身分証明書が外部に流出する可能性があるという事実は、ユーザーにとって極めて深刻です。
Discordはすでに再発防止策を講じており、該当サービスとの契約見直しを進めています。
とはいえ、ユーザー側も今後の動向を注視し、アカウントのセキュリティ管理を徹底することが求められます。
