約7万人分の公的身分証がDiscordのサポートから流出したと判明し、クラッカーは1.6TBのデータを盗んだと主張

4日前に記事とした通り、Discordはユーザーのサポートに利用していたZendeskを経由し、チケット内容やメールアドレス等のデータが流出したことを認めています。この攻撃の詳細に関しては不明瞭な点はまだ多いものの、時間がたつにつれてその攻撃の手段や影響が徐々に明らかとなっていっています。

この記事においては、先日書いた記事以降に明らかになった点及びより確実になった点について触れていきます。基本的にソースがあるものを扱いますが、それらについても信頼性の評価が難しいものもある点をご理解いただけますと幸いです。

結論

1. 流出した公的身分証の数は約7万人分と判明
2. ZendeskそのものではなくBPO業者から漏出した模様
3. 金銭目的のクラッカーは1.6TB分のデータを保有していると主張しており、Discordとの交渉は決裂

公的身分証が流出したのは約7万人分

先日の記事において、主に年齢確認を求めたユーザーの公的身分証が流出したことが判明した旨を書かせていただきました。このことに関して、当時Discordは少数のユーザーに限った話であるとして、攻撃の公表から時間が経っていなかったという面もありますが、影響を受けたユーザー数を明瞭に示していませんでした。

Discordは8日に公式の宣言を更新し、公的身分証の漏洩を受けたとされるユーザー数の概数を7万人分であると公表しました。この7万人の内実は不明瞭ですが、年齢確認に関して提出された公的身分証ですので、若いユーザーのものが多数含まれていると考えられます。なおDiscordは公的身分証が漏洩したと考えられるユーザーに対して、その旨をメールで告知しているとしています。

PC Gamerはこれに関して、「Discordでのこのデータ漏洩は、世界中の人々がこうした政策に懸念や不満を抱いている理由を明確に示している。検閲の問題にとどまらず、政府IDなどの機密データのスキャンや写真を、そのデータを保護するセキュリティを持たない企業に提供することには、明らかなリスクが伴う」と指摘しています。これはイギリス等で近年制定されつつある、コミュニケーションサービスを提供する企業はそのサービスを提供する際に年齢確認を行わなければならないという類の法律の危険性について言及しています。

Zendeskそのもののセキュリティーシステムは侵害されていない

Wiredによって運営されているメディアであるSecurityWeekが、取材の一環としてZendeskに対して声明を求めました。Zendeskの広報担当者は「調査の結果、このインシデントはZendeskのプラットフォームの脆弱性から発生したものではないことが明らかとなった。Zendesk自身のシステムは侵害されていない（Our investigation indicates this incident did not arise from a vulnerability within Zendesk’s platform. Zendesk’s own systems were not compromised）」と述べたとのことです。

これは4日の記事で触れた通り、確かにZendeskからデータは流出したものの、Zendeskそのものの不備ではなくどこか別のところから情報が流出し、そこに含まれていた認証情報等からDiscordのサポートデータ等が漏出してしまったということを示していると考えられます。BleepingComputerによると、攻撃者であるクラッカーはDiscordそのものでもZendeskそのものでもなく、Discordがサポートを委託しているBPO業者のサポートエージェントのアカウントを攻撃したとしています。BPO（ビジネス・プロセス・アウトソーシング）とは、コールセンターの運営などが代表的で、企業そのもののビジネスに直接的な関係は小さいものの必要である業務を外部へ委託することを指します。

そのため、情報をまとめるとBPO業者の従業員のアカウントの認証情報が何らかの形でクラッカーに奪われ、クラッカーはそれを基にDiscordのサポートチケットの内容やそれに関連する以下の情報が流出してしまったものだと考えられます。BPO業者はサポートは提供しているものの当然ながらDiscordそのもののサービスの運用は行っていないため、流出したデータにパスワード等のDiscordへの認証情報やDiscordのメッセージは含まれていなかったと考えられます。

• Discordカスタマーサポートに提供された氏名、Discordユーザー名、メールアドレスおよびその他の連絡先情報（提供された場合）
• アカウントに関連付けられている場合の支払いタイプ、クレジットカードの下4桁、購入履歴などの限定的な請求情報
• IPアドレス
• カスタマーサービスエージェントとのメッセージ
• 限定的な企業データ（トレーニング資料、内部のプレゼンテーション）

BleepingComputerはこうしたサポートのBPOはDiscordに限らず様々な企業で行われているため、この種の問題が他にも発生しうることを指摘しています。

クラッカーによる主張

9月20日からDiscordのサポートシステムに対して攻撃を行ったクラッカーは、流出したデータに対しその公開や削除に関してDiscordと交渉を行ったようです。その交渉はDiscordが攻撃を公開した10月2日まで続けられましたが、その交渉は決裂してしまったようです。

なお、このセクションは主にBleepingComputerの記事のみに依拠した記述となりますが、これは攻撃アクター（Scattered LAPSUS$ Huntersとされる）へ直接取材を行いかつ詳細な回答を掲載しているのがBleepingComputerのみであるという理由です。詳細な内容に関しては元記事を参照ください。

クラッカーは1.6TB分のデータを盗み出した

Discordとクラッカーの双方に対して直接取材を行ったBleepingComputerによると、クラッカーは1.6TB分のデータをZendeskから盗み出したとのことです。クラッカーによれば、この1.6TBのうち100GB以上はサポートチケットのデータで、1.5TB程度はこれらのチケットに添付されていたデータとのことです。

クラッカーはこれらのデータには550万ユニークユーザーによる約840万チケットが含まれていると主張しています。このうち約58万のチケットにおいては支払情報が何らかの形で含まれていたともしています。

クラッカーとDiscordとの交渉

クラッカーは9月20日に攻撃を行った後58時間にわたってDiscordの使用しているZendeskへのアクセス権を維持し、その後9月25日から約1週間の間Discordに対して交渉を行ったとしています。当初クラッカーはDiscordに対して500万ドルの請求を行い、その後350万ドルに引き下げましたがこれで交渉はまとまらず、Discordによる攻撃の公開が行われました。

本攻撃に対してDiscordはBleepingComputerに対する声明において「we will not reward those responsible for their illegal actions」としており、一切の金銭を払わなかったものとみられています。

「Scattered LAPSUS$ Hunters」とは

なお、BleepingComputerに限らず、ソースとなっている記事において何度か言及されている「Scattered LAPSUS$ Hunters」は、著名なクラッカー集団である「Scattered Spider」・「Lapsus$」・「ShinyHunters」の3団体のメンバーが連携しているとされているクラッカーの集団です。この集団の特徴としては多数のデータ（主に個人情報や機密情報）を持つ企業に対して攻撃を行いそういったデータを盗み出した後、データを暗号化するのではなく盗んだデータの削除の代償として金銭を要求するといったものがあります。行っている行為としては近年大きな問題となっているランサムウェアを使用する攻撃と似てはいるのですが、盗んだデータの削除を理由に金銭を要求するといった点が異なります。

盗まれた企業が金銭を支払わなかった（とされる）場合、ShinyHuntersが2025年時点で運営しているWebサイト「BreachForums（英語版Wikipedia）」等でデータを公開します。近頃問題となったSalesforceにおけるデータ漏洩もこの「Scattered LAPSUS$ Hunters」が行ったものとされています。

関連リンク

• Update on a Security Incident Involving Third-Party Customer Service - Discord
• Hackers claim Discord breach exposed data of 5.5 million users - BleepingComputer
• One of the worst case scenarios for ID age verification is already here, with a Discord breach compromising some users' data - PC Gamer
• Discord Says User Information Stolen in Third-Party Data Breach - SecurityWeek
• Discordがユーザー7万人分の身分証明書画像やID・クレジットカード番号下4桁などが流出した可能性があることを発表 - GIGAZINE
• Discord情報流出、顔写真約210万件と機密情報1.5TBを盗んだとハッカー声明 - Gadget Gate

最後に

こうした攻撃アクターと被害を受けた企業の双方が明瞭な主張を行っている場合、その攻撃の規模を外部から正確に推定するには多大な困難が伴います。そのため正確性を保証することに関して通常のニュースと比較してどうしても及び腰になってしまいます。

この背景として、攻撃アクターは被害を受けた企業に対して金銭を要求していること及び外部に向けて自分たちの「技術力」を見せつけるため、可能な限り過大に攻撃による被害を喧伝しようとします。反対に被害を受けた企業はその被害を可能な限り小さく見せ、追ってしまった傷を小さく見せようとします。このこと自体の良い悪いは置いておいて、このようなある種の「駆け引き」があるため、攻撃の影響を殊に外部から見図ろうとするのは難しいのです。

次にこの話とは全く関係のない、完全に余談となりますが、日本語でこの漏出を扱っているサイトは私が見つけている限り、GamesparkとPC Watch、4Gamerや電ファミニコゲーマー、ITmediaがありました。ただこれらのサイトは基本的に6日（月）になってからDiscordの公式発表のみをソースとして書いたもので、メールを受け取った人とほぼ同じ情報量でした。それでもこの漏出問題を早期から扱っているという点ではいいメディアであると思います。

ただDiscordが公式に声明をアップデートした8日の翌日である9日になって今更この問題を取り扱い始めたメディアがちらほら見られ、「事が大きくなってから記事にした」という感じがあるのは極めて残念だと思います。もちろんIT関連の話題に強い/強くないといったメディアの特性もあり、一概に悪いとは言えませんが、そうした後追い（というにもおこがましいほど）遅いメディアがTwitter（現X）において多くの注目を集めている現状を見るとあまりいい気分はしません。私は基本的にFediverseで活動をしていることもあり、Twitterにおける露出が多くないということは（その上個人サイトだし）分かっているのですが、何というか微妙な気持ちになっています。