Discordは、同社のZendeskサポートシステムから550万人分のユニークユーザーのデータが盗まれたと主張する脅威アクターに対し、政府発行IDや一部ユーザーの支払い情報が含まれていたにもかかわらず、支払いには応じないと述べています。
また同社は、侵害によって210万枚の政府ID写真が流出したという主張にも反論し、実際にID写真が流出したのは約7万人のユーザーであるとしています。
攻撃者は、侵害がDiscordのZendeskサポートインスタンスを通じて発生したと主張していますが、同社はこれを確認しておらず、顧客サポートに使用しているサードパーティサービスが関与したとだけ説明しています。
「まず、当社のブログ記事でも述べた通り、これはDiscord自体の侵害ではなく、カスタマーサービスのために利用しているサードパーティサービスの侵害です」とDiscordはBleepingComputerに声明を出しました。
「次に、共有されている数字は正確ではなく、Discordから金銭を脅し取ろうとする試みの一部です。世界中で影響を受けたアカウントのうち、政府発行IDの写真が流出した可能性があるユーザーは約7万人であり、これは当社のベンダーが年齢確認のために使用していました。」
「三つ目に、違法行為に関与した者に報酬を支払うことはありません。」
ハッカーとの会話で、BleepingComputerはDiscordが侵害の深刻さについて透明性を欠いていると伝えられ、攻撃者は同社のZendeskインスタンスから1.6TBのデータを盗んだと主張しています。
脅威アクターによると、2025年9月20日から58時間にわたりDiscordのZendeskインスタンスへアクセスしたとのことです。しかし、攻撃者は侵害がZendesk自体の脆弱性や侵害によるものではなく、Discordが利用している外部BPO(ビジネス・プロセス・アウトソーシング)プロバイダーのサポート担当者のアカウントが侵害されたことが原因だと述べています。
多くの企業がサポートやITヘルプデスクをBPOに外部委託しているため、BPOは攻撃者が顧客環境へアクセスするための人気のターゲットとなっています。
ハッカーは、Discordの社内Zendeskインスタンスによって「Zenbar」と呼ばれるサポートアプリケーションへアクセスでき、これにより多要素認証の無効化やユーザーの電話番号・メールアドレスの検索など、さまざまなサポート関連の操作が可能だったと主張しています。
Discordのサポートプラットフォームへのアクセスを利用し、攻撃者は1.6テラバイトのデータを盗み、その内訳は約1.5TBのチケット添付ファイルと100GB超のチケット記録であったと主張しています。
ハッカーによれば、これは約840万件のサポートチケットに相当し、550万人のユニークユーザーが影響を受け、そのうち約58万人のユーザーには何らかの支払い情報が含まれていたとのことです。
脅威アクター自身も、盗まれた政府IDの正確な数は分からないとBleepingComputerに認めていますが、年齢確認チケットが約52万1千件あったため、7万人より多いと考えていると述べています。
脅威アクターはまた、盗まれたユーザーデータのサンプルも共有しており、これにはメールアドレス、Discordのユーザー名やID、電話番号、一部の支払い情報、生年月日、多要素認証関連情報、不審な活動レベル、その他の内部情報など、さまざまな情報が含まれる可能性があります。
一部ユーザーの支払い情報は、ZendeskとDiscordの内部システムの連携を通じて取得可能だったとされています。これらの連携により、攻撃者はZendeskプラットフォーム経由でDiscordの内部データベースに数百万回のAPIクエリを実行し、さらなる情報を取得できたと報告されています。
BleepingComputerは、ハッカーの主張や提供されたデータサンプルの真正性を独自に検証することはできませんでした。
ハッカーは、当初500万ドルの身代金を要求し、その後350万ドルに減額し、9月25日から10月2日までDiscordと非公開で交渉したと述べています。
Discordが連絡を絶ち、事件について公表した後、攻撃者は「非常に怒っている」と述べ、要求が支払われなければデータを公開する計画だとしています。
BleepingComputerは、年齢確認完了後もなぜ政府IDを保持していたのかなど、これらの主張についてDiscordに追加の質問をしましたが、上記の声明以外の回答は得られませんでした。
