Discord、外部業者への不正アクセスで情報流出 運転免許証やパスポートも

[ITmedia]

　米Discordは10月3日（現地時間）、カスタマーサポート業務を委託していた業者が不正アクセスを受け、一部ユーザーの個人情報が流出した可能性があると発表した。Discordの本体システムには侵入されておらず、影響は限定的としている。

（Discordの発表より、以下同）

　影響を受けたのは、同社のカスタマーサポートまたはTrust & Safetyチームと連絡を取ったことがある一部のユーザー。攻撃者はDiscordから身代金を要求する目的で、委託先業者が運営するカスタマーサポートシステムに不正にアクセスし、氏名、ユーザー名、メールアドレス、支払い手段の種類、クレジットカードの下4桁、購入履歴、IPアドレス、サポートとのやりとり内容などにアクセスした可能性があるという。

影響を受けたデータ

　また、年齢確認に関する異議申し立てで提出された一部の政府発行IDの画像（運転免許証やパスポートなど）にもアクセスされた可能性がある。これらの流出対象に該当するユーザーには、Discordが個別にメール（noreply@discord.com）で連絡している。

　Discord上でのメッセージや通話履歴、パスワード、クレジットカードの番号全桁やセキュリティコードなどは、今回の不正アクセスの影響を受けていないとしている。

　Discordは被害確認後、当該プロバイダーのアクセス権を直ちに取り消し、外部のデジタルフォレンジック企業を交えて調査を開始。併せて法執行機関とも連携し、対応を進めている。今後は委託先業者向けの脅威検知体制やセキュリティ監査の強化を図るとしており、影響を受けたユーザーには、不審なメッセージへの注意を呼び掛けるとともに、専用窓口でのサポートを提供している。