ハクソク

世界を動かす技術を、日本語で。

Discordがピーター・ティール支援の認証ソフトウェアとの提携を解消

90日前原文(fortune.com)

概要

  • Discord の身元確認ソフトPersona Identitiesのフロントエンドコードが 公開状態 で発見
  • Personaは 顔認証・政治的リスク評価 など269種のチェックを実施
  • 米政府サーバー にも関連データが保存されていた事実が判明
  • DiscordはPersonaとの提携を 1ヶ月未満で解消
  • ユーザーデータ管理や 安全対策 を巡るDiscordの課題が浮き彫り

DiscordとPersona Identitiesの情報漏洩問題

  • Discord の身元確認ソフトPersona Identitiesの フロントエンドコード がインターネットおよび米政府サーバー上で 公開状態 で発見
  • 研究者が X上 で指摘した内容によると、米連邦政府認定エンドポイントに 約2,500件のファイル がアクセス可能な状態で存在
  • Personaは顔認証による 監視リスト照合 や「政治的に影響力のある人物」リストによるスクリーニングも実施
  • 年齢確認以外にも 269種類の独自チェック を実施し、テロ・スパイ行為など14カテゴリーの「不利なメディア」も対象
  • ユーザー情報に リスク・類似度スコア を付与し、情報が 公開状態 で保存されていた事実

PersonaとDiscordの提携経緯と解消

  • 発覚後、 DiscordはPersonaとの提携を解消 と発表
  • Personaは Founders Fund(Peter Thiel出資) から資金提供を受けるAI企業
  • Personaは引き続き OpenAI、Lime、Roblox 等で年齢確認サービスを提供
  • DiscordとPersonaの提携期間は 1ヶ月未満 で終了、テスト対象ユーザーはごく少数
  • テストで送信された情報は 最大7日間保存後に削除 される運用

Discordの過去の安全対策と課題

  • Discordは ゲーマー・学生・インフルエンサー・技術者 など幅広い利用者層を持つ人気コミュニケーションプラットフォーム
  • 2024年には サードパーティベンダー(5CA) 経由で 7万人超の政府ID情報流出 事件が発生
  • この事件はDiscord本体の侵害ではなく、 外部委託先のセキュリティ問題 によるもの
  • 被害ユーザーには メール通知、流出範囲は政府ID、IPアドレス、一部請求・企業データ

年齢確認方針の混乱

  • 2025年10月、Discordは 全アカウントをティーン安全設定に初期化 と発表し、追加機能利用にはPersonaによる年齢確認が必要と案内
  • 利用者から過去の情報流出を指摘され、翌日に 年齢確認はオプション であり、年齢制限サーバー・チャンネル利用時のみ必須と方針修正
  • 多くのユーザーは 既存情報から年齢判定、政府ID提出は不要、 ビデオセルフィー など複数のプライバシー重視手段を用意
  • Discordとベンダーは 顔スキャン画像を端末内で処理・保存、即時削除を強調
  • ただし、 FAQの過去バージョン ではPersonaによる政府IDの 最大7日間保存 が明記されていた

Personaの主張と反論

  • Persona CEOの Rick Song は「発見されたのは脆弱性ではなく、 公開フロントエンド情報」と説明
  • 研究者が発見したのは 圧縮されていないフロントエンドファイル であり、APIドキュメントにも記載済みと主張
  • PersonaとDiscord間の提携は「 成功だった」と評価、データは 即時マスキング・削除 されていたと説明
  • Personaは PalantirやICE、政府との関係を否定、現在FedRAMP認証を申請中
  • 269種類の確認項目は オプション であり、全てのクライアントが利用するわけではない
  • Personaは KYC(本人確認)・AML(マネーロンダリング対策) ソリューションも提供
  • 研究者とのやり取りを公開し、 誤解や脅迫の被害 を訴え、個人攻撃を批判

プライバシーとオンライン本人性の議論

  • Persona CEOの Rick Song はLinkedInで 顔写真未掲載 を批判されるも、「 本人確認は済んでいる」と反論
  • オンラインでの「 顔出し強要」の風潮を ディストピア的 とし、プライバシーの重要性を強調
  • Personaは LinkedInの本人確認 も担当

この一連の事件は、 個人情報保護・本人確認技術・サードパーティ委託のリスク という現代のプラットフォーム運営における重要課題を浮き彫りにした。

Hackerたちの意見

あー、ちょっと「Discordがピーター・ティール支援のSaaSとの関係を断つ、アメリカのスパイ活動に関連するコードが見つかった後」というタイトルで投稿しようとしたんだけど、これの方がちょっと良いと思うし、80文字ちょうどに収まるんだよね :) 「アメリカの監視活動に関連するコードが見つかった後」という部分は新しい情報だし、タイトルに入れるのも大事だと思う。まあ、ほとんどの人は前からそうだろうとは思ってたけどね。

アメリカのスパイ活動に関連するコードが見つかった後 新しい情報だし、これが大きなニュースになるべきだよね。「肉屋が人肉のステーキが見つかったとき、供給業者との関係を断つ」って、供給業者を変える話じゃないはずなのに…

確かに、それはもっと良いタイトルだったと思う。

これ、実際にそういうことなの?

これって、Discordがユーザーの顔認証の新しい要件を廃止するってこと?それとも、もうこのサードパーティサービス(Persona)を使わないってことなのかな?記事にはその辺があんまりはっきり書いてなかったね。

K-idは、デバイス上で処理を行うことを提案していたベンダーです。彼らは、すべてのK-idデータがデバイス上に留まると言って、この取り組みを軽視しようとしていました。しかし、実際にはストーリーに出てくるPersonaへの切り替えを試みていたので、その保証は守られていませんでした。データを保存しないと言って人々を安心させながら、データを保存するベンダーへの切り替えを試みるのは、見た目がひどかったですね。このベンダーの切り替えがキャンセルされた理由の一部だと思います。(ただ、これが良いアイデアだと思ったDiscordの判断には疑問が残りますね。)とにかく、Personaも侵害されていて、それが政府のリンクが発見された理由でもあり、この決定の一因でもあると思います。これは、11月に別のベンダーである5CAの侵害と混同しないでください。最初のUKとオーストラリアの展開で使われたベンダーです。4ヶ月で2つのベンダーが侵害されたという事実は、これが悪いアイデアである理由の良い例です。

つまり、Discordはユーザーの顔認証の新しい要件を廃止するってこと? いや、外部の会社に認証を委託してるだけだよ。ただ、この会社じゃないけど。ちなみに、認証はコンテンツフィルターを外したり、大人向けのサーバーに参加したり、いくつかの機能を使うためのもの。友達とチャットしたり、ボイスチャットしたりするだけなら、認証はいらないよ。

約2,500のアクセス可能なファイルが、アメリカ政府の認可を受けたエンドポイントに放置されているのが見つかったと、研究者がXで指摘した。ファイルには、Personaが監視リストに対して顔認識チェックを行い、政治的に露出のある人々のリストと照合している様子が示されていた。 > Personaは「悪影響メディア」のスクリーニングを含む269種類の異なる認証チェックを行っている。みんなこれを想定してたと思うけど、知っておくのはいいことだよね。 > そして、その情報はオープンに利用可能だった。「私たちは一つのエクスプロイトを書く必要すらなかった。全てのアーキテクチャがドアの前にあった」と言ってて、こういう状況が無能さから発覚することが多いのはちょっと怖いよね。ほとんどの似たような状況は、同じ無能さに苦しんでない(だから知られてない)と思う。 > 「Discordでは、ユーザーのプライバシーとセキュリティを最優先にしています。」って、お願いだから企業はこの明らかな嘘を言うのをやめてほしい。あなたたちが気にしてないのは分かってるし、私たちもそれを知ってるから。 > オンラインでリアルでいるために、みんなが顔をさらけ出さなきゃいけないのはディストピアだね。…顔を送らなきゃいけない会社のCEOが言ってることだよ。

関連記事: LinkedInの身分を確認しました。私が渡したものはこれです。 https://news.ycombinator.com/item?id=47098245

Personaのフロントエンドコードに基づく記事はこちらです: https://vmfunc.re/blog/persona コードについて結論を出す前に、この一次情報を読むことを強くおすすめします。二次報道はかなり質が低いから。

私にはダウンしてるみたい。 https://web.archive.org/web/20260220192124/https://vmfunc.re...

6日前に投稿したけどフラグが立てられた。 https://news.ycombinator.com/item?id=47059129 @dang これ、再チャンスもらえないかな?

くそ、なんでそのサイトが俺の音声を盗んだんだ?

いい記事だけど、ウェブサイトが目と耳に癌をもたらしたよ。もっと読みやすくして、音声を盗まないでほしい!

「ピーター・ティール支援」とかいう表現が広まってきて嬉しいな。

一人の人間が文明社会にどれだけのダメージを与えられるかって、本当に驚くべきことだよね。範囲を少し広げると、隣接する数人の影響も含めて、災害の規模は本当にすごい。

西洋文明を救うふりをして壊そうとすることは許せるかもしれないけど、『ワンピース』や『ウォッチメン』に関してメディアリテラシーが低いのはちょっと許せないな。 (これジョークだから、分かってなかったらごめんね)

それはいいけど、あまり良くはないね。でも中心的な問題は残ってる(資本主義に腐敗したビジネス文化と、これに関わる国家との結びつきを無視して)。非技術者が気づかないうちに、重要な方法でコミュニケーションを中央集権化することはできないよ。 「え、チャットやIP、音声クリップを記録してるの?それに18歳以上のDiscordにはIDが必要なの?」って思うよね。そう、完全に記録されてるし、そのログは君がコントロールできないところに行くよ。もしかしたら君や君の大切な人を抑圧するために使われるかもしれない。Discordの価値提案は「ここをクリックするだけで、Teamspeakサーバーを買ったり、ピアツーピアの面倒なことをする必要はない」だった。深い個人的なことがそこで言われたり投稿されたりしてる。普通のコミュニケーションはこんな風に共有されるべきじゃないし、また「電話線を盗聴された」問題に戻っちゃう。昔と今の違いは、長い間POTSの代替がなかったこと。誰かに電話をかけるには電話を使うしかなかった。電話会社や政府の盗聴を回避するのは非常に難しかった。でも今は、営利目的の中央集権サービスを諦めれば、ほとんどすべてのことを別の方法でできる。社会は連邦制やそれに似たものにちょっと手を出してるけど、なかなか本格的には移行できてない。Twitterの移行も、結局はBlueskyのような新しい中央集権サービスに戻っちゃったし、将来的にはまた別の深いポケットを持った買い手に売られることになるから、また同じ問題が起こる。今は連邦制や個人サーバーでプライバシーの問題がサーバー運営者に戻るけど、少なくとも信頼できる人か、自分自身になる可能性がある。でも今は、DiscordやBlueskyではそのどちらも無理。友達やゲームグループを自己ホストのTeamspeakやStout、Mumbleみたいなものに移そうとしてる。便利さは失うかもしれないけど、人生は得ることだけじゃないからね。時には大きな利益のために何かを犠牲にしなきゃいけないこともある。RedditやBluesky、HNなどから連邦サービスに移行したいと思ってるし、かなり試してみたけど、まだ人が集まってない(かも?)。これは人々が必要とする目覚ましの合図になればいいな、90年代の個人暗号化との戦いのように。今、私たちは非常に悪い状況にいると思うし、非技術者にも話し合う価値のある問題だと思う。今のシステムの代替案についても考える必要がある。人々は今のシステムの便利さを超えて、プライバシーと安全を求めるなら、そういうことを考えたサービスに移行しなきゃいけないことを理解する必要がある。

みんな、その会社との関係を切るべきだよ。Personaだけじゃなくて、Peter ThielやJoe Lonsdale、Palmer Luckey、Elon Musk、David Sacksなどに関連するサービスもね。全体的なMAGAカルトの生態系だよ。残念ながら、彼らのお金を受け取っても気にしない会社もあるだろうね。それを罰するのは他の会社や消費者の役目だ。投資家に基づいて、どのサービスを使うべきかすぐにチェックできるウェブサイトが必要かも。

彼の会社から連絡してくるリクルーターにはいつもこう説明してる。

これは悪いトレンドだと思う。なんか、アドホミネム攻撃のメタ版みたいだね。見出しには、Discordがその決定を下した理由についての情報が全く含まれてなくて、ただその会社に悪い名前がついてるだけ。会社名すら見出しには書かれてないし。情報よりもヘイトを優先してるってことだよね。

毎日誰かがパレンティアのピーター・ティール(またはデジタルマフィアの他のメンバー)との関係を切ってる。社会全体にとってはいい日だね。

彼らは本当に禁止された組織であるべきだ。

もう手遅れだよね。Discordは長年の信頼を台無しにしちゃった。いくつかのDiscordコミュニティにいるけど、今はこの件のせいで新しいところには参加しようと思わないな。

Discordはオープンなインターネットにとって癌だよ。リアルタイムチャット?いいね。でも、コミュニティやフォーラム、ウィキがDiscordの壁の中に移行するのは、情報の発見にとって大惨事だよ。Discordの代わりに似たようなものを使うのはやめて、オープンなフォーラムやウィキに戻ろう!

誰か、Discordが最初にどうしてこんなに大きくなったのか、特にゲーム以外の使い方について教えてくれない? SlackからDiscordに移行する人たちを見たとき、これは予想してたよ。Slackは問題があって、a) 利益追求型で、個人データを利用して利益を得ようとするし、b) オープンウェブに反してるからね。Discordも同じ問題を抱えてるから、明らかに解決策じゃなかったのに、どうしてみんなまたハマっちゃったんだろう?

Discordは何年分もの信頼と好意を燃やしちゃった。…ここにはなかったけど、彼らは信頼なんて持ってなかった。技術自体は良いけど、w80核弾頭や、当時のタイガーIV、j-35も同じようなもんだよ。

自分が運営しているサーバーはバックアップとしてエクスポートして、年齢確認のプロンプトが来たらアンインストールするつもり。

あんなラベルがついた人物とビジネスを始めるべきじゃなかった。最近のリングみたいに、ただそれがうまくいくか試してるだけで、ほんとムカつく。最初からそれを基準にすべきだったよ。

彼らは数百万ドルを使って、もっとクールになる手助けをするべきだね。ザッカーバーグは一瞬良い方向に向かってたけど、ティールとオルトマンはまだ大多数の人には変わりすぎてる。カープは私にとっては中間くらいかな。センスがなくて、ソースもない、億万長者たちだ。