Discordは、ランサムウェア攻撃者によって標的にされ、年齢確認用IDや請求情報を含む顧客データにアクセスされたことを明らかにしました。
このインシデントは、名前が公表されていない第三者のカスタマーサービスプロバイダーが侵害されたことが原因で発生しました。
「不正な第三者が、Discordから金銭的な身代金を要求する目的で、当社の第三者カスタマーサポートサービスを標的にし、ユーザーデータへアクセスしました」と、同ソーシャルプラットフォームは10月3日の投稿で述べています。
このデータ漏洩は、Discordのカスタマーサポートやトラスト&セーフティチームに連絡した一部の顧客に限定して影響しています。
漏洩した可能性のある情報には、顧客の氏名、Discordアカウントのユーザー名、メールアドレス、その他の連絡先情報が含まれます。
支払い方法やクレジットカードの下4桁など、一部の請求情報も影響を受けました。
その他に影響を受けた可能性のあるデータには、ユーザーのIPアドレス、カスタマーサービス担当者とのやり取りのメッセージ、年齢判定に異議を申し立てたユーザーのごく一部の政府発行ID画像が含まれます。
トレーニング資料や社内プレゼンテーションなどの企業データもハッカーによってアクセスされました。
同社は、影響を受けたユーザーに対し、[email protected]からメールで連絡を行っています。この目的で電話など他の連絡手段は使用しないと顧客に伝えています。
漏洩の影響を受けたユーザーの総数については公表されていません。Discordは世界中で月間2億人以上のアクティブユーザーがいます。
Discordによれば、アクセスされたデータにクレジットカードの全番号やCVVコードは含まれていませんでした。パスワードや認証データも漏洩していません。
また、カスタマーサポートとのやり取り以外のDiscord上のメッセージやアクティビティは攻撃者によって取得されていません。
法執行機関および関連するデータ保護当局には、このインシデントについて通知済みです。
再び発生した著名な第三者経由の攻撃
Discordは、攻撃を検知後、直ちにカスタマーサポートプロバイダーのチケッティングシステムへのアクセス権を取り消すなどの対策を講じたと述べています。
また、第三者サポートプロバイダーに対するセキュリティ管理体制を見直したと付け加えています。
ESETのグローバルサイバーセキュリティアドバイザーであるジェイク・ムーア氏は、「今回の漏洩は、Discord自体ではなく信頼された第三者を通じて発生したように見えるため、特に懸念されます。第三者の脆弱性は監視や管理が難しいことが多いですが、それでも機密情報を保持しており、サイバー犯罪者の標的となるケースが増えています」とコメントしています。
Discordのインシデントは、2025年に第三者ITサービスプロバイダーの侵害によって発生した多数のデータ漏洩に続くものです。Scattered SpiderやShinyHuntersなどのグループが、著名ユーザーの認証情報を得るためにソーシャルエンジニアリング手法を用いたこれらの攻撃に関与しているとされています。
画像クレジット:rafastockbr / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/discord-data-breach-third-party/
