メイン州の情報漏洩ポータルが悪用され、偽のデータ侵害通知が掲載される

異例の偽情報キャンペーンの一環として、メイン州の公式情報漏洩ポータルに不正なデータ侵害通知が提出され、その正当性が確認される前に公開されました。これを受けて、当該企業が主張を否定する事態となっています。

最新の事例は、マルチプレイヤーソーシャルVRプラットフォーム「VRChat」が提出したとされる通知で、同州司法長官の情報漏洩データベースに掲載されています。

この偽のVRChatデータ侵害エントリには、ハッカーが同社のクラウド環境にアクセスした後、240万人以上のユーザーの個人データが流出したと記載されています。

虚偽情報を提出した人物は、被害者向けの通知書を作成する手間までかけており、その内容では5月10日から12日の間にハッキングが発生し、以下の種類のデータが影響を受けたと主張しています。

• VRChatユーザー名
• VRChatアカウントに関連付けられたメールアドレス
• VRChat+のサブスクリプション状態
• デバイス、ハードウェア識別子、IPアドレスを含むログイン履歴
• VRChatアカウントに連携されたSteamまたはMetaのユーザーID

一見すると、この偽の通知書は正当なものに見えます。不正アクセスの詳細、フォレンジック調査の結果、ハッキング検知後の対応措置、セキュリティ強化のための施策、そしてユーザーがアカウントを保護するためにすべき行動など、細かな内容が盛り込まれています。

VRChatのコミュニティ責任者であるCharles Tupper氏はBleepingComputerに対し、メイン州司法長官室のデータベースに登録されたデータ侵害通知は偽物であると述べました。

「VRChatはこのデータインシデント通知を提出しておらず、記載されている従業員およびメールアドレスは実在しません。当社のデータやシステムが侵害されたと信じる理由はありません。」

Tupper氏はさらに、「メイン州司法長官室に連絡し、削除を求めている最中です」と付け加えました。

VRChatのCEO兼共同創業者であるGraham Gaylor氏も、Tupper氏からBleepingComputerが受け取ったコメントを確認しています。

メイン州司法長官室もBleepingComputerのコメント依頼に応じ、「当該通知は削除される予定」であり、「通知提出における意図的な虚偽申告の前例は確認されていない」と述べました。

今週初め、メイン州司法長官室はDiscordが提出したとされる別の不審なデータ侵害通知を掲載しており、1,000万人がデータ侵害の影響を受けたと主張するものでした。

メイン州司法長官室はBleepingComputerに対し、誰でも侵害通知フォームを提出でき、審査なしでポータルに掲載されることを認めました。

Discordのデータ侵害提出の有効性について問われたメイン州司法長官室は、BleepingComputerに次のように述べました。「当事務所は侵害に関する独自の知識を持ち合わせておらず、提出者が情報を入力するとそのままサイトに反映されます。ご指摘いただいた件については確認いたします。ありがとうございます。」

正式なデータ侵害通知の多くとは異なり、Discordのエントリには、侵害の概要や被害者が自身を守るための対策を説明する企業からの通知書が含まれていませんでした。

会社の住所を除き、Discordのエントリには、通知提出者の名前、Gmailの連絡先、そして仮の電話番号など、曖昧で信頼性に欠ける情報が含まれていました。

さらに、侵害発生日が2024年7月9日、発見日が2025年8月8日とされており、消費者への通知日が2000年1月1日という矛盾した内容も、偽の提出であることを明確に示しています。

2025年にDiscordがデータ侵害の被害を受けたことは事実ですが、その発生日は9月20日であり、原因は同社のZendeskサポートデスクシステムへの不正アクセスでした。

当時、ハッカーはBleepingComputerに対し、840万件のチケットから550万人分のユーザーデータを盗んだと述べていました。

公式ポータルに掲載されているからといって、データ開示の有効性を当然のものとして受け取ることはできません。審査が不十分なため、詐欺師が偽情報を広めやすく、企業が虚偽の申告の掲載を把握する前に、風評被害やパニックを引き起こす恐れがあります。

今回の偽の申告は、ジャーナリストや消費者が公開通知ポータルのエントリを正式なインシデントとして扱う前に、被害企業に直接確認して独自に検証することの重要性を改めて浮き彫りにしています。