Discordユーザーはメールをチェックしておこう
Discord情報流出、顔写真約210万件と機密情報1.5TBを盗んだとハッカー声明
Share
人気のコミュニケーションプラットフォームDiscordは先週、大規模なハッキングによる情報流出被害に遭ったことを報告した。当初は、サードパーティのカスタマーサービスプロバイダーであるZendeskでのデータ侵害が原因とされ、Discordの発表では公的機関が発行した顔写真付き身分証明書情報約7万人分が流出したとされた。
だがその後の情報では、流出した情報はユーザー登録時の年齢確認のために提出された、運転免許証やパスポートなどの顔写真218万5151枚が流出した可能性があるとされ、データ量としては約1.5TBにのぼると伝えられている。
そして、過去にSalesforceなどに対してハッキングを仕掛けたことで知られるサイバー犯罪グループ「Scattered Lapsus$ Hunters(SLH)」が、この件に関する犯行声明をTelegramで発表した。同グループはDiscordの業務プロセスを外部委託されている企業のサポート担当者のアカウントに侵入し、58時間にわたりアクセス権を獲得したとしている。
その間に盗まれたデータには、氏名、Discordユーザー名、メールアドレス、支払い方法やクレジットカード番号の下4桁などの請求情報が含まれている。さらに、カスタマーサービス担当者とのやり取りメッセージやユーザーのIPアドレスも含まれているとのことだ。なお、ハッカーらは、窃取されたデータの影響範囲はユーザーサポートにアクセスがあった約840万件に関わる、約550万人のユーザーに及ぶとしている。
こうした状況の中、Discordは大手のコンピューターフォレンジック会社を呼び、法執行機関やデータ保護当局と協力して問題の対処に当たっているという。
同社は、影響を受けたとみられるすべてのユーザーに、メールアドレスnoreply@discord.comから電子メールで通知する手続きを進めている。
通知メールには、ユーザーの身分証明書が侵害されたデータに含まれているかどうかが明記され、Discordはコミュニティに対し、今回の侵害によってクレジットカード番号、パスワード、プライベートメッセージ、カスタマーサポートのやり取り以外のアクティビティが完全に漏洩したわけではないことを保証している。まだ、Discordは今回の件について、このメールアドレス以外からはいかなる手段を通じても連絡をすることはないとユーザーに約束し、二次的な被害に遭わないよう警告している。
Discordが漏洩の可能性があるとしたデータのほとんどは、それほど機密性の高いものではない。だが運転免許証やパスポートといった公的な身分証明書に関する情報が流出したことは、明らかに深刻な問題と言えるだろう。
なお、現在もこの問題は進行であり、影響の全貌が明らかになるかは、今後流出した情報をハッカーグループが公開するなどの脅迫行為を行うかどうかによるだろう。
この問題は、攻撃者が安全性の低いサードパーティのパートナーを標的にして大規模な組織のデータにアクセスする、いわゆるサプライチェーン攻撃の脅威が高まっていることの表れといえそうだ。
ちなみに、9to5Macは更新情報として、Zendeskが同社のシステムは侵害されておらず、今回の事態がZendeskプラットフォームの脆弱性に起因するものではないと声明を出したことを伝えている。
