世界を動かす技術を、日本語で。

Discordがピーター・ティール支援の認証ソフトウェアとの提携を解消

2026年2月24日原文(fortune.com)

概要

  • Discord の身元確認ソフトPersona Identitiesのフロントエンドコードが 公開状態 で発見
  • Personaは 顔認証・政治的リスク評価 など269種のチェックを実施
  • 米政府サーバー にも関連データが保存されていた事実が判明
  • DiscordはPersonaとの提携を 1ヶ月未満で解消
  • ユーザーデータ管理や 安全対策 を巡るDiscordの課題が浮き彫り

DiscordとPersona Identitiesの情報漏洩問題

  • Discord の身元確認ソフトPersona Identitiesの フロントエンドコード がインターネットおよび米政府サーバー上で 公開状態 で発見
  • 研究者が X上 で指摘した内容によると、米連邦政府認定エンドポイントに 約2,500件のファイル がアクセス可能な状態で存在
  • Personaは顔認証による 監視リスト照合 や「政治的に影響力のある人物」リストによるスクリーニングも実施
  • 年齢確認以外にも 269種類の独自チェック を実施し、テロ・スパイ行為など14カテゴリーの「不利なメディア」も対象
  • ユーザー情報に リスク・類似度スコア を付与し、情報が 公開状態 で保存されていた事実

PersonaとDiscordの提携経緯と解消

  • 発覚後、 DiscordはPersonaとの提携を解消 と発表
  • Personaは Founders Fund(Peter Thiel出資) から資金提供を受けるAI企業
  • Personaは引き続き OpenAI、Lime、Roblox 等で年齢確認サービスを提供
  • DiscordとPersonaの提携期間は 1ヶ月未満 で終了、テスト対象ユーザーはごく少数
  • テストで送信された情報は 最大7日間保存後に削除 される運用

Discordの過去の安全対策と課題

  • Discordは ゲーマー・学生・インフルエンサー・技術者 など幅広い利用者層を持つ人気コミュニケーションプラットフォーム
  • 2024年には サードパーティベンダー(5CA) 経由で 7万人超の政府ID情報流出 事件が発生
  • この事件はDiscord本体の侵害ではなく、 外部委託先のセキュリティ問題 によるもの
  • 被害ユーザーには メール通知、流出範囲は政府ID、IPアドレス、一部請求・企業データ

年齢確認方針の混乱

  • 2025年10月、Discordは 全アカウントをティーン安全設定に初期化 と発表し、追加機能利用にはPersonaによる年齢確認が必要と案内
  • 利用者から過去の情報流出を指摘され、翌日に 年齢確認はオプション であり、年齢制限サーバー・チャンネル利用時のみ必須と方針修正
  • 多くのユーザーは 既存情報から年齢判定、政府ID提出は不要、 ビデオセルフィー など複数のプライバシー重視手段を用意
  • Discordとベンダーは 顔スキャン画像を端末内で処理・保存、即時削除を強調
  • ただし、 FAQの過去バージョン ではPersonaによる政府IDの 最大7日間保存 が明記されていた

Personaの主張と反論

  • Persona CEOの Rick Song は「発見されたのは脆弱性ではなく、 公開フロントエンド情報」と説明
  • 研究者が発見したのは 圧縮されていないフロントエンドファイル であり、APIドキュメントにも記載済みと主張
  • PersonaとDiscord間の提携は「 成功だった」と評価、データは 即時マスキング・削除 されていたと説明
  • Personaは PalantirやICE、政府との関係を否定、現在FedRAMP認証を申請中
  • 269種類の確認項目は オプション であり、全てのクライアントが利用するわけではない
  • Personaは KYC(本人確認)・AML(マネーロンダリング対策) ソリューションも提供
  • 研究者とのやり取りを公開し、 誤解や脅迫の被害 を訴え、個人攻撃を批判

プライバシーとオンライン本人性の議論

  • Persona CEOの Rick Song はLinkedInで 顔写真未掲載 を批判されるも、「 本人確認は済んでいる」と反論
  • オンラインでの「 顔出し強要」の風潮を ディストピア的 とし、プライバシーの重要性を強調
  • Personaは LinkedInの本人確認 も担当

この一連の事件は、 個人情報保護・本人確認技術・サードパーティ委託のリスク という現代のプラットフォーム運営における重要課題を浮き彫りにした。

Hackerたちの意見

あー、ちょっと「Discordがピーター・ティール支援のSaaSとの関係を断つ、アメリカのスパイ活動に関連するコードが見つかった後」というタイトルで投稿しようとしたんだけど、これの方がちょっと良いと思うし、80文字ちょうどに収まるんだよね :) 「アメリカの監視活動に関連するコードが見つかった後」という部分は新しい情報だし、タイトルに入れるのも大事だと思う。まあ、ほとんどの人は前からそうだろうとは思ってたけどね。

アメリカのスパイ活動に関連するコードが見つかった後 新しい情報だし、これが大きなニュースになるべきだよね。「肉屋が人肉のステーキが見つかったとき、供給業者との関係を断つ」って、供給業者を変える話じゃないはずなのに…

確かに、それはもっと良いタイトルだったと思う。

これ、実際にそういうことなの?

これって、Discordがユーザーの顔認証の新しい要件を廃止するってこと?それとも、もうこのサードパーティサービス(Persona)を使わないってことなのかな?記事にはその辺があんまりはっきり書いてなかったね。

K-idは、デバイス上で処理を行うことを提案していたベンダーです。彼らは、すべてのK-idデータがデバイス上に留まると言って、この取り組みを軽視しようとしていました。しかし、実際にはストーリーに出てくるPersonaへの切り替えを試みていたので、その保証は守られていませんでした。データを保存しないと言って人々を安心させながら、データを保存するベンダーへの切り替えを試みるのは、見た目がひどかったですね。このベンダーの切り替えがキャンセルされた理由の一部だと思います。(ただ、これが良いアイデアだと思ったDiscordの判断には疑問が残りますね。)とにかく、Personaも侵害されていて、それが政府のリンクが発見された理由でもあり、この決定の一因でもあると思います。これは、11月に別のベンダーである5CAの侵害と混同しないでください。最初のUKとオーストラリアの展開で使われたベンダーです。4ヶ月で2つのベンダーが侵害されたという事実は、これが悪いアイデアである理由の良い例です。

つまり、Discordはユーザーの顔認証の新しい要件を廃止するってこと? いや、外部の会社に認証を委託してるだけだよ。ただ、この会社じゃないけど。ちなみに、認証はコンテンツフィルターを外したり、大人向けのサーバーに参加したり、いくつかの機能を使うためのもの。友達とチャットしたり、ボイスチャットしたりするだけなら、認証はいらないよ。

約2,500のアクセス可能なファイルが、アメリカ政府の認可を受けたエンドポイントに放置されているのが見つかったと、研究者がXで指摘した。ファイルには、Personaが監視リストに対して顔認識チェックを行い、政治的に露出のある人々のリストと照合している様子が示されていた。 > Personaは「悪影響メディア」のスクリーニングを含む269種類の異なる認証チェックを行っている。みんなこれを想定してたと思うけど、知っておくのはいいことだよね。 > そして、その情報はオープンに利用可能だった。「私たちは一つのエクスプロイトを書く必要すらなかった。全てのアーキテクチャがドアの前にあった」と言ってて、こういう状況が無能さから発覚することが多いのはちょっと怖いよね。ほとんどの似たような状況は、同じ無能さに苦しんでない(だから知られてない)と思う。 > 「Discordでは、ユーザーのプライバシーとセキュリティを最優先にしています。」って、お願いだから企業はこの明らかな嘘を言うのをやめてほしい。あなたたちが気にしてないのは分かってるし、私たちもそれを知ってるから。 > オンラインでリアルでいるために、みんなが顔をさらけ出さなきゃいけないのはディストピアだね。…顔を送らなきゃいけない会社のCEOが言ってることだよ。

関連記事: LinkedInの身分を確認しました。私が渡したものはこれです。 https://news.ycombinator.com/item?id=47098245

Personaのフロントエンドコードに基づく記事はこちらです: https://vmfunc.re/blog/persona コードについて結論を出す前に、この一次情報を読むことを強くおすすめします。二次報道はかなり質が低いから。

私にはダウンしてるみたい。 https://web.archive.org/web/20260220192124/https://vmfunc.re...

6日前に投稿したけどフラグが立てられた。 https://news.ycombinator.com/item?id=47059129 @dang これ、再チャンスもらえないかな?

Hacker Newsで議論の続きを見る