世界を動かす技術を、日本語で。

Discordが発表、7万人のユーザーの政府発行IDが漏洩した可能性あり

2025年10月9日原文(theverge.com)

概要

Discord のカスタマーサポート業者が データ侵害 を受け、約 70,000人 のユーザーの政府発行ID写真流出の可能性 第三者 による恐喝と 誤った情報 の拡散が発生 Discord は影響を受けたユーザーに連絡済み 法執行機関 や外部専門家と連携し、対応を継続 個人情報保護 への取り組み強化

Discordのカスタマーサポート業者におけるデータ侵害

  • Discord が利用する Zendesk のインスタンスが第三者により侵害
  • 70,000人 のユーザーが 政府発行ID写真 流出の可能性
  • 年齢確認申請 の審査目的で委託業者が保有していたデータ
  • vx-underground による「1.5TB・約218万枚の写真流出」主張は 誤情報
  • Discord 公式見解:「 Discord本体 の侵害ではなく、あくまで 第三者業者 の問題」

会社の対応と今後の方針

  • 影響を受けた全ユーザーに 個別連絡 を実施済み
  • 法執行機関、データ保護当局、外部セキュリティ専門家と 連携強化
  • 侵害を受けた 業者との契約終了、該当システムの 封鎖
  • 恐喝行為 に対し支払いは一切行わない方針
  • 個人情報保護 の責任を重視し、ユーザーへの説明と対応を継続

流出した可能性のある情報

  • 氏名
  • ユーザー名
  • メールアドレス
  • クレジットカード下4桁
  • IPアドレス

まとめ

  • Discord は自社サービスの セキュリティ強化 を継続
  • ユーザーの懸念 に真摯に対応する姿勢
  • 今後の情報提供 やアップデートは公式ブログや個別連絡で実施予定

Hackerたちの意見

ちょっと気になったんだけど、確認プロセスが終わった後にそのデータを保存するのは必須なの?

誰が求めてるの?DiscordはIDを要求する必要なんてないし、ましてや保存する必要もないよ。

EUの場合は逆に、GDPRがデータの最小化と利用目的の制約を求めてるから、年齢確認のためにデータを提出したら、年齢がわかった時点で保存する理由はないんだよね。だから、削除しなきゃいけない。

ただの推測だけど、重複アカウントを監査するために元のIDカードを保存してるかもしれないね。もし彼らの機械学習モデルが二人が全く同じだと思ったら、同じIDカードの写真があれば確認できるかも。

この話の一番おかしいところだよね。なんで責任を負うの?必要なものだけ手に入れて、責任は捨てちゃえばいいのに。もし保存しなきゃいけないなら(ありえないと思うけど)、漏洩したら超ヤバい情報は別の追記専用サービスに置いて、読み取りは厳しく制限すべきだよ。

私は別の業界にいるけど、身分証明書を集める必要があった時は、提示された時にメタデータを抽出して、それを確認した後、画像は捨ててた。ほとんどのシナリオでは、弁護士からそのデータを保存する許可は得られないし、年齢や名前の確認のためにそれを正当化する理由も思いつかない。

なんで人々は、プロセスが完了した後に保存してたと考えてるの?ここで漏れた数が少ないから、これは進行中の侵害の最中に集められた情報だった可能性もあるし、永久的なデータベースのダンプじゃないかもしれないよ。

これはダメだし、報告もダメだね。最初にこう言ってる: > Discordは、先週発表されたカスタマーサービスのデータ侵害の一環として、約70,000人のユーザーの政府発行IDの写真が漏洩した可能性があると特定したと、広報のNu WexlerがThe Vergeに語った。 それから大きなPRの引用があって、潜在的な悪者がさらにそれを利用できるようにしてる。最後にこう締めくくってる: > 先週の発表で、Discordは名前、ユーザー名、メールアドレス、クレジットカードの最後の4桁、IPアドレスなどの情報も侵害の影響を受けた可能性があると言っていた。これはひどい企業のPR文で、ジャーナリズムじゃない。数万人に害を及ぼす企業の怠慢についての大きな話なのに。私が期待する最低限のリードはこれだよ: Discordは約70,000人のユーザーに関する敏感な個人情報を漏洩した可能性がある -- 政府ID、名前、ユーザー名、メールアドレス、SSNの最後の4桁、IPアドレスを含む(ただしこれに限らない)。DiscordとThe Vergeの両方をブロックする準備ができてる。

Discordは約70,000人のユーザーの個人情報を漏洩させたかもしれない。政府のIDや名前、ユーザー名、メールアドレス、SSNの最後の4桁、IPアドレスなどが含まれている(必ずしもこれに限らない)。クレジットカード番号はSSNではないし、Discordが後者を持っている理由が全く理解できない(私も政府のIDを渡したことはないし)。それに、クレジットカード番号の「最後の4桁」は、例えば、店のレシートに普通に載っていて、みんながそのまま置いていくことが多い。ユーザー名も、敏感な情報とは言えないよね。要は、他の情報がユーザー名に結びついていることが問題なんだ。

自分が皮肉屋になっただけかもしれないけど、これが誰かにとって本当に驚きなの?自分の個人情報を誰かに渡すときは、基本的に「一般の人がアクセスできるようになった」と考えてる。サービスが利用規約に第三者に売るなんて書いてなくても、やるかもしれないし、遅かれ早かれ、彼らのセキュリティが甘いシステムが侵害されることになるよ。はっきり言っておくけど、特定の企業を責めるつもりはない。これは政府が真剣なセキュリティ対策を持っていない、または施行していないというシステム的な問題だから。自分の情報がプライベートであることへの期待は完全に捨てたし、本当にプライベートにしたい情報については、デジタル化したり再生産したりしないようにしてる。

こんな時代にDiscordみたいな大手でこんなことが起こるなんて驚きだよね。大手テック企業の大規模なデータ漏洩は、一般的にセキュリティが向上してるから、どんどん少なくなってきてる。

それに、書面での契約もない企業に重要な書類を送る人たちの問題もあるよね。

Hacker Newsで議論の続きを見る