どれが本当の情報なのかわからなくなってきた
Discord情報流出問題、ハッキングとは別の「人為的ミス」が原因との指摘
Share
先月発生したDiscordのハッキング被害の問題に関し、Discordが10月14日に更新した声明で新たにハッキングされたと名指しされたセキュリティサービス企業5CAが、これを否定する声明を発表した。
5CAは「予備的な情報」からは、同社所掌範囲外で起こった「人為的ミス」が原因である可能性があるとも述べ、これに関して「確認が取れ次第、検証済みの調査結果を報告する」としている。
問題が発覚したのは10月3日のこと。Discordはデータ漏洩を公表し、カスタマーサービス企業Zendeskへのハッキングにより発生したこの問題で、運転免許証やパスポートなどの公的機関が発行した身分証明書が「少数」含まれていたと述べた。
しかしその後、写真付きの個人情報の流出数は約7万にのぼるとの報道が流れた。さらにXユーザーであるvx -undergroundの投稿では、ハッカーグループが「年齢確認の際に提出されたとみられる顔写真約218万5151枚を含む約550万人分、約1.5TBの個人情報」を保有していると主張。そして、サイバー犯罪グループ「Scattered Lapsus$ Hunters(SLH)」がこの情報に基づく犯行声明をTelegramで出していると伝えられた。
BleepingComputerが報じるところでは、このハッカーグループは、9月20日に58時間ものあいだDiscordのZendeskアカウントにアクセスできたとし、サードパーティ企業に雇用されているサポート担当者のログイン情報を盗み出して侵入することに成功したと主張している。
しかしZendeskは、この件に関して同社サービスへのハッキング被害はなかったと声明を発表。情報が錯綜する状況となっていた。
そして今回、Discordは当初のリリースを更新して、ハッキングされたのはやはりカスタマーサービスを提供している企業である5CAだと名指しで指摘した。
ところが5CAもZendesk同様、即座にこれを否定し、同社のサービスへの被害は発生しておらず、同社の顧客には何ら影響は及ばないこと宣言する声明を発表した。
5CAは「われわれはこのクライアントが保持する公的機関発行の個人情報を取り扱ったことすらない」「本件は当社のシステム外で発生し、5CAはハッキングを受けていないことを確認した」「5CAの他のクライアント、システム、データへの影響は確認されていない」「アクセス制御、暗号化、監視システムは完全に稼働しており、予防措置としてさらに厳重な監視」を継続していると述べ、同社が流出問題とは無関係であることを強調した。
さらに、5CAは「予備的な情報によると、このインシデントは人為的ミスによるものである可能性があり、その範囲は現在調査中」だと付け加え「関係者と緊密に連絡を取り合っており、確認が取れ次第、検証済みの調査結果を報告する」と述べた。
これは、Discordがうっかりミスで情報流出させた可能性をほのめかしているように受け取れる話だ。5CAは人為的ミスが具体的に何を意味するのかは示していない。
もし5CAの反論が本当だとすれば、Discordにとっては自らの信用を貶める手痛いカウンターパンチになる可能性もある。
人為的ミスが大もとの原因なのかそうでないのか、ハッキングがあったのかなかったのか、カスタマーサービスに問題が遭ったのかなかったのか、Discordの主張が正しいのか否か。今後の調査動向がますます気になるところだ。
