76万人に影響か Discord.ioのユーザーデータが漏えい

Discordサーバでカスタム招待を作成できるサービス「Discord.io」で、76万人のユーザーデータが漏えいしたとみられる。

[後藤大地，有限会社オングス]

　Malwarebytesは2023年8月16日（現地時間）、コミュニケーションアプリ「Discord」サーバの所有者がカスタム招待を作成できるサードパーティーサービス「Discord.io」で、76万人のユーザーデータが漏えいしたとみられる。

　Discord.ioのオーナーは同サービスを当面の間停止することを決定しており、すでにプレミアムサブスクリプションはキャンセルされた他、影響を受けるユーザーに対してできるだけ早期に連絡を取るとしている。

「Discord.io」のユーザーデータベースが漏えいした（出典：MalwarebytesのWebサイト）

Discord.ioのユーザーデータが漏えい　76万人に影響か

　漏えいしたユーザーデータには、以下のデータが含まれている可能性がある。

• Discord.ioのユーザー名とDiscord ID
• 電子メールアドレス
• 請求先住所
• ソルト付きハッシュ化パスワード（2018年以前にサインなアップした場合に限る）

　支払いに関する情報は「Stripe」および「PayPal」によって管理されているため、今回の情報漏えいの影響は受けないとされている。

　DiscordはDiscord.ioを使ったことがあるDiscordユーザーのOAuth認証トークンを失効させたと説明した。これによって、ユーザーが再認証を実施するまでアプリは対象ユーザーの代わりにアクションを実行できない。影響を受けたユーザーはパスワードを変更し、多要素認証を有効化することが推奨される。

　Malwarebytesはデータ漏えいの被害に遭った、または、その可能性がある場合に取るべき行動として以下のアクションを推奨する。

• ベンダーのアドバイスを確認する
• パスワードを変更する。ユニークで強力なパスワードを使用する。パスワードの生成にはパスワードマネジャーを使ってもよい
• 二要素認証（2FA）を有効化する。可能であればFIDO2に準拠したハードウェアセキュリティキーやPC、携帯電話を第2要素として使用する
• 偽の業者に気を付ける
• 時間をかけてチェックを実施する

　今回の情報漏えいについて、Discordのスポークスマンは「DiscordとDiscord.ioは提携しておらず直接ユーザー情報は共有していない」と説明し、ユーザーに対して二要素認証を有効化してSMS認証の導入を検討することを推奨している。