Discordに問い合わせた際のチケット内容やメールアドレス等がZendeskから流出

Discordは、テキストと音声の両方を気軽に扱えるチャット・VoIPサービスで、世界中に多くの利用者がいます。基本的に無料で提供されており、特にゲームとの相性が良いためゲーム愛好家を中心に様々な人々によって活用されています。

このようなDiscordのカスタマーサポート及びTrust & Safetyチームに問い合わせを行った際のデータが、第三者によって侵害されたことが報告されました。Discordはこの侵害に対して素早く行動したようで、既に侵害を受けたと思われるユーザーへ直接メールへの通知を行っているようです。この記事では流出したデータとDiscordの対応等について簡単に書いていきます。

結論

1. DiscordのカスタマーサポートやT&Sへ問い合わせた際のデータが流出
2. Discordそのものの認証でデータや完全なクレジットカード番号等の侵害は無し
3. 年齢判定に異議を申し立てたユーザーによってアップロードされた政府発行の身分証明書の侵害も確認

データ流出

Discordは問い合わせがあった際、その管理にZendeskと呼ばれるサードパーティーサービスを活用しています。これは多くの企業・団体で活用されているカスタマーサポートプラットフォームで、適切に管理・利用を行えば効率の良い問い合わせに対する応答が可能であり、問い合わせたユーザーにとっても素早い返答が得られるというのは便利でしょう。

今回のDiscordによる声明において明瞭にZendeskから漏洩したということは明言されていないものの、Zendesk側のユースケースに堂々と掲載されてしまっている通り、Zendeskを使用していることは明らかです。Discord内からZendeskチケットの対応は可能ではありますが、これによってDiscord内部のデータにZendesk側からアクセスされてしまうといった事案は発生しにくいでしょう。

どのようなデータが流出してしまったかと言えば、公式声明によると

• Discordカスタマーサポートに提供された氏名、Discordユーザー名、メールアドレスおよびその他の連絡先情報（提供された場合）
• アカウントに関連付けられている場合の支払いタイプ、クレジットカードの下4桁、購入履歴などの限定的な請求情報
• IPアドレス
• カスタマーサービスエージェントとのメッセージ
• 限定的な企業データ（トレーニング資料、内部のプレゼンテーション）

といったものです。大まかに言えば「 問い合わせをした際にカスタマーサポートと送受信された情報 」と言えば理解しやすいでしょう。

これらの流出において重大な組み合わせとなる人はあまり多くないかと思いますが、メールアドレスと名前を組み合わせて偽装したメールを友人とみられる人にフィッシングとして送信する、といった悪用例が考え付きます。もちろんこれに限った話ではないため、データの流出に巻き込まれてしまった方とその周囲の方は留意しておくとよいでしょう。

反対に以下のようなデータは流出していないとのことです。

• クレジットカード番号の全桁やCVCコード
• カスタマーサポートとユーザーが話し合った内容以外のDiscord上のメッセージやアクティビティ
• パスワードまたは認証データ

このため、メールアドレス等と比較するとセンシティブなデータの流出は発生していないと言えます。ただ、流出してしまったとされているものは最大限のものと現状されているものですので、これより少ない可能性もありますし、これより多い可能性もあります。そのため、しばらくは今後の動きに注意しておく方が良いでしょう。

流出の通知

Discordは遅くとも9月20日にデータの流出を把握した後、それをメールを通じて影響を受けたとされるユーザーへ直接の通知を行いました。

あくまで可能性のあるユーザーに送信されているようなので、必ずしもこのメールを受け取ったからといってデータが流出しているとは限りません。ただ、繰り返しになりますが流出したデータが現状Discordが示しているものだけであるとは限らないので、今後とも注意が必要であると言えます。

公的身分証の一部も流出

より重要な点として、Discordによる年齢判定に対して異議を申し立てたユーザーによる公的身分証（運転免許証やパスポート）の画像もZendesk上に保管されていたようで、これらも流出してしまった可能性があるとのことです。Discordによればこれらが流出してしまったとみられるユーザーに対して、先述の通知メールにおいてその旨が記載されているとのことです。

あくまで公的身分証の画像の流出は少数であるとされていますが、その絶対数は現状不明です。不安がある場合は、Discordのサポートへリクエストを送信するか、Twitter（現: X）の@Discordアカウントとコミュニケーションを取ることを推奨しています。心配な方は問い合わせを行うとよいかと思います。

関連リンク

• Update on a Security Incident Involving Third-Party Customer Service - Discord
• Discord customer service data breach leaks user info and scanned photo IDs - The Verge
• Discord data hacked in latest customer service breach to expose user information — hackers gained access via third-party support systems but didn't steal passwords - Tom's Hardware

最後に

この手の流出はたまに発生してしまう事象ではありますが、ここで気になるのはどういったルートにおいてその流出が発生してしまったかということです。現状どういったルートでDiscordの用いているZendeskが侵害されたかが気になっています。あり得る手段としてはZendeskへのアクセスを持つDiscordの従業員のアカウントが何らかの形で侵害されたか、API等のアクセストークンが流出してしまったのかの2つが主に考えられます。

また、公的身分証の一部が流出してしまったということは、公的身分証というユーザーにとって特に重要な個人情報と、問い合わせたユーザーのIPアドレスといった相対的に重要でないデータを同等に扱ってしまっているという可能性があります。Discordはこの事案を受けて「サードパーティサポートプロバイダーに対する脅威検知システムとセキュリティ管理の見直し」を行っているとしていますが、その中にデータの保護に関する見直しがきちんと入っていることを祈っています。