仮想通貨資産運用

ハッカーが恐喝攻撃でDiscordユーザー210万人のパスポートと免許証を漏洩すると脅迫

2025年11月21日

DiscordのZendeskサポートが侵害され、210万人のユーザーのパスポートと運転免許証に関連付けられた年齢確認写真2,185,151枚が公開されました。現在、攻撃者はさらなる漏洩を阻止するためにDiscordに脅迫を行っています。

ハッカーはDiscordのサードパーティサポートシステムから200万枚以上の政府発行の身分証明書写真を盗んだと報じられており、同社が身代金を支払わない限りそれらを漏らすと脅迫しています。

9月20日に発生したこの侵害は、同社がユーザーサポートや信頼性と安全性に関する問い合わせに対応するために使用する顧客サービスプラットフォームであるDiscordのZendeskインスタンスに関係していました。

Discordベンダーのハッキングでパスポートと免許証の写真210万枚が流出

サイバーセキュリティ研究グループVX-Undergroundによると、攻撃者は年齢確認の申し立てに関連する約2,185,151枚の画像を含む1.5テラバイトのデータを盗み出したと主張しています。

これらの画像は、プラットフォームの自動モデレーションシステムによってフラグが付けられた後、年齢確認を試みるために Discord ユーザーが提出したパスポートと運転免許証で構成されています。

Chat, we are cooked

Discord is being extorted by the people who compromised their Zendesk instance

They've got 1.5TB of age verification related photos. 2,185,151 photos

tl;dr 2.1m Discord users drivers license and/or passport might be leaked. Unknown number of e-mails
— vx-underground (@vxunderground) October 8, 2025

Discordは10月3日にブログに投稿したアップデートで、「不正な第三者」がサードパーティのZendeskインスタンスにアクセスしたことを確認しました。同社は、このインシデントはカスタマーサポートまたはTrust & Safetyチームに連絡した「限られた数のユーザー」に影響を与えたと述べています。

Discordは、自社のサーバーは侵害されておらず、ユーザーのパスワード、プライベートメッセージ、認証データは漏洩していないと強調しました。

しかし、攻撃者の主張は、Discordが当初説明した限定的なインシデントをはるかに超えています。VX-Undergroundは、侵入時に取得されたとされるサンプルID画像のスクリーンショットを共有し、盗まれたデータの代償としてDiscordが脅迫されていると主張しました。

On September 20, Discord experienced a security incident involving its customer service platform. This incident resulted in the exposure of users' names, usernames, email addresses, limited payment information, IP addresses, and messages exchanged with customer service. pic.twitter.com/mbrbThQw7i
— Discord Previews (@DiscordPreviews) October 3, 2025

漏洩したファイルには、パスポート、運転免許証、その他本人確認に使用された身分証明書の写真が含まれていると報じられています。Discordは漏洩したサンプルの真正性を確認していませんが、アクセスされたデータの中に身分証明書の写真が含まれていたことを認めています。

Discordの公式発表では事件の規模を最小限にとどめようとしたが、VX-Undergroundやその他のサイバーセキュリティ監視団体は異なる見解を示し、攻撃者が210万枚を超えるユーザー認証写真を所持していると主張しました。

同グループはまた、自らの主張を裏付けるために盗んだ文書のサンプルを公開し、公開を阻止するためにDiscordが恐喝されていることを確認しました。

Discordは、クレジットカード番号、CCVコード、プライベートメッセージ全体が漏洩したわけではないと明言しているが、専門家は、盗まれた詳細情報がフィッシング、個人情報窃盗、ソーシャルエンジニアリング攻撃に悪用される可能性があると警告しています。

Update: We have become aware that the perpetrators of this attack claim to have obtained 1.5 TB of age-verification photos totalling 2,185,151 images, which they are now using to extort Discord. https://t.co/iCPl7ljQLy pic.twitter.com/cTrnDCaTeu
— Discord Previews (@DiscordPreviews) October 8, 2025

この情報漏洩により、デジタルプラットフォームにおける本人確認データの取り扱いに対する懸念が再燃しています。Discordユーザーは、同社が以前、年齢確認情報は確認後直ちに削除すると明言していたにもかかわらず、オンラインで不満を表明しています。

批評家は、これらの画像が外部サーバーに保存されていたため、控訴関連の文書の保管によって不必要なプライバシーリスクが生じたと指摘しています。

Discordのハッキング事件が英国でデジタルID計画をめぐる議論を巻き起こす

セキュリティアナリストらは、今回の侵害はデータ処理慣行における繰り返し発生する欠陥を浮き彫りにしていると述べています。企業が顧客サポートなどの機能を外部委託している場合でも、ベンダーが同じセキュリティ基準を遵守していなければ機密情報が漏洩したままになる可能性があります。

この場合、攻撃者は外部システムのアクセス権限を悪用して、主要なインフラストラクチャではなく、Discord の Zendesk 環境を直接標的にしていたようです。

この事件の影響は英国でも幅広い政治的議論に波及し、政府が計画している国家デジタルIDプログラムに対する国民の反対を煽っています。

I have received countless requests to campaign against digital ID.

The petition, at 2.8 million signatures shows:

This is no fringe view. It is a national outcry.

See here. 👇https://t.co/fNXPs2Ku4r
— David Davis MP (@DavidDavisMP) October 8, 2025

Discordのハッキングの報道を受けて、この取り組みに反対する嘆願書には280万以上の署名が集まり、批評家たちはこの侵入は大量の機密データを保管する集中型デジタルIDシステムの危険性の証拠だと指摘しています。

Discordへの攻撃は、テクノロジー業界全体にわたるサードパーティサービスプロバイダーを標的とした一連の同様の侵入攻撃に続くものです。多数の企業にヘルプデスクソフトウェアを提供しているZendeskは、過去のいくつかの攻撃でバックドアとして利用されてきました。

Discordは、今後の事件を防ぐために、現在すべての外部ベンダーを調査し、アクセス権限を監査していると述べました。

今週現在、脅迫犯は身代金の金額や支払期限を明らかにしていません。米国と欧州の法執行機関がこの事件を捜査していると報じられているが、ハッカーが入手した全データセットの真正性は、まだ独立して検証されていません。

今回の情報漏洩は、デジタルIDのセキュリティとユーザーのプライバシーへの新たな関心が高まる中で発生しました。昨年、Polygon LabsからスピンオフしたPrivado IDは、ゼロ知識証明（基盤となるデータを公開することなく個人情報を確認する暗号化手法）を用いて、ユーザーが年齢と身元を確認できるウェブウォレットを導入しました。

この技術は、Discord の年齢確認プロセスで使用されているような従来の文書アップロードに代わる、プライバシーを保護する代替手段として宣伝されています。