メイン州司法長官室は、未知の行為者がVRChatとDiscordという2つの大手オンラインプラットフォームになりすまし、不正なデータ侵害の届け出を送信することに成功したことを受け、一般公開のデータ侵害通知ポータルを一時的に閉鎖しました。この事件は、州のデータ侵害登録システムにおける届け出者の確認方法に重大な欠陥があることを露呈するものとなりました。
2026年6月11日にメイン州のポータルに投稿された不正なVRChatの届け出は、このソーシャルVRプラットフォームが2026年5月10日から5月12日にかけて外部からのハッキング被害を受け、メイン州住民8,607人を含む240万人以上のユーザーデータが流出したと主張するものでした。
この通知は偽のVRChatのレターヘッドで作成され、架空の従業員が担当者として記載されていました。また別の届け出ではDiscordになりすまし、数百万人のユーザーの個人データが流出する「内部不正」事案が発生したと虚偽の主張をしていました。
VRChatは素早くこの届け出に対して異議を申し立てました。同社はRedditに投稿し、その後公式ブログでも声明を発表して、「このデータ侵害通知を提出したのは弊社ではない」「弊社のシステムが侵害されたと考える根拠はない」と明言しています。一方、Discordは記事公開時点でメディアの問い合わせに対して公式な回答を行っていません。
研究者が最初にこの届け出を指摘し、VRChatの否定を確認した後、メイン州司法長官室は6月12日の声明において、これらの届け出が「両社とは無関係の未知の主体によって提出されたデマ」であったと認めました。
両方の不正な届け出はデータベースから削除され、報告手続きの見直しが完了するまでの間、一般公開のポータルはオフラインとなっています。
今回の悪用を可能にした重要な点があります。閉鎖前は、提出された侵害通知が独立した確認作業なしに自動的に公開データベースへ掲載される仕組みになっていたのです。
司法長官室はこう認めています。「私たちはデータ侵害に関する独自の情報を持っておらず、提出者が情報を入力すると、それがそのままサイトに掲載される仕組みになっています。」
メイン州のデータ侵害ポータルは、新たに開示されたセキュリティインシデントを追跡するために、サイバーセキュリティ記者や研究者、そして脅威インテリジェンス企業が最も頻繁に参照する州レベルの登録システムのひとつです。
信頼性の高いこの公的リソースに、任意の企業を標的とした虚偽の侵害通知を任意の規模で直接掲載できるという事実は、深刻な問題をはらんでいます。無実の企業への評判の毀損、投資家心理の操作、そして正当な開示に対する社会的信頼の失墜といったリスクが現実のものとなり得ます。
司法長官室によると、正規のデータ侵害届け出は引き続きオンライン申請サービスを通じて提出可能であり、既存の報告書へのアクセスが必要な場合は消費者保護部門に直接連絡するよう案内しています。
犯人特定のために法執行機関が関与しているかどうか、またポータルが閉鎖される前にどれほどの不正な届け出が見過ごされていたかは、依然として不明のままです。
翻訳元: https://cyberpress.org/maine-takes-data-breach/
