月間2億人以上が利用するコミュニケーションプラットフォームDiscordは、先日から報じられていたデータ漏洩事案の続報として、約7万件のユーザーの身分証明書(ID)画像が流出した可能性があることを公式に認めました。
当初「限定的」とされていた被害の具体的な規模が明らかになり、現代のデジタルサービスが抱えるサプライチェーンリスクの深刻さが改めて浮き彫りになっています。
From: 
Discord: Attackers accessed about 70000 user photo IDs
【編集部解説】
明らかになった被害の具体的な数字
今回の最大の更新点は、流出した政府発行の身分証明書(ID)画像の具体的な件数が約70,000件であったとDiscordが公式に発表したことです。これは、ユーザーが年齢確認などの目的でDiscordのサポートに提出したもので、運転免許証やパスポートなどが含まれる可能性があります。
攻撃者は当初、これを大幅に上回る218万件のID画像と1.5TBのデータを盗んだと主張し、Discordに身代金を要求していましたが、Discord側はこの数字を否定しています。
攻撃の舞台は「サードパーティベンダー」
Discordは一貫して、今回の侵害が自社システムへの直接攻撃ではなく、顧客サービスを委託していた第三者ベンダー(サードパーティ)で発生したものであると強調しています。
複数の報道によると、このベンダーは顧客サポートツールとして「Zendesk」を利用したとされており、攻撃者はベンダーに所属するサポートエージェントのアカウントに不正アクセスをしたとみられています。委託先におけるアカウント管理の不備が狙われた可能性が濃厚です。
企業データも一部流出
ユーザーの個人情報に加え、限定的ながらDiscordの社内トレーニング資料や内部プレゼンテーションといった企業データも流出していたことが新たに判明しました。これは、攻撃者が単なる個人情報だけでなく、企業の内部情報にもアクセスしていたことを示唆しています。
Discordの対応と今後
Discordはインシデント発覚後、ただちに当該ベンダーのシステムへのアクセスを遮断したと発表しました。また、影響を受けた全ユーザーに対し、[email protected]のアドレスから個別に通知メールを送信し、注意を呼びかけています。
今回の事案は、自社のセキュリティが強固であっても、取引先や委託先の脆弱性がそのまま自社のリスクに直結する「サプライチェーンリスク」の典型例です。企業は今後、外部委託先の選定基準や監査体制をより一層厳格化する必要に迫られるでしょう。
【用語解説】
サプライチェーン攻撃
直接の標的ではなく、その取引先や委託先といった「供給網」を経由して本命の企業やユーザーを攻撃する手法。セキュリティが比較的脆弱な小規模事業者を侵害し、そこから大手企業のシステムやデータにアクセスする。
サードパーティベンダー
自社の業務の一部(今回の場合、顧客サポート)を外部に委託する場合の、その委託先企業のこと。
【参考リンク】
【編集部後記】
「自分は大丈夫」と思っていても、信頼して利用しているサービスが、その先の委託先で情報を漏洩させてしまう。今回の事案は、そんな現代のデジタル社会の構造的なリスクを私たちに突きつけました。
サービスを利用する上で、どこまで自分の情報を差し出すべきか、改めて考えるきっかけになったのではないでしょうか。便利さの裏側にあるリスクを常に意識し、自衛のアンテナを高くしておくことが、これからの時代を生き抜く上で不可欠なスキルなのかもしれません。
