はじめに
人気コミュニケーションプラットフォームDiscordが、550万人のユーザーデータが流出したと主張するハッカー集団と対立しています。ハッカーは、同社のカスタマーサポートシステムであるZendeskインスタンスから大量のデータを盗み出したと主張していますが、Discord側はこれを否定し、情報の正確性について反論しています。
ハッカー側の主張
ハッカー集団は、Discordが利用するZendeskインスタンスに58時間にわたりアクセスし、合計1.6テラバイトものデータを窃取したと主張しています。この侵害は、Zendesk自体の脆弱性ではなく、Discordが契約するビジネスプロセスアウトソーシング(BPO)プロバイダーのサポートエージェントのアカウントが侵害されたことが原因であるとされています。
ハッカーは、Zendeskインスタンスを通じて「Zenbar」と呼ばれるサポートアプリケーションにアクセスし、多要素認証の無効化やユーザーの電話番号、メールアドレスの検索などの操作が可能だったと述べています。流出したとされるデータには以下のものが含まれます:
- 約1.5TBのチケット添付ファイル
- 100GB以上のチケットトランスクリプト
- 約840万件のチケット、550万人のユニークユーザーに影響
- 約58万人のユーザーの支払い情報
- メールアドレス、Discordのユーザー名とID、電話番号
- 部分的な支払い情報、生年月日、多要素認証関連情報
- 不審な活動レベル、その他の内部情報
特に、政府発行の身分証明書については、約52万1千件の年齢確認チケットが存在したことから、Discordが公表する数よりもはるかに多くのIDが流出した可能性があるとハッカーは主張しています。
Discord側の反論
Discordは、今回の事態が同社のシステムへの直接的な侵害ではないと強調しています。同社は、顧客サービスに利用している第三者サービス(Zendesk)が関与したものであり、ハッカーが主張するデータ量や影響ユーザー数は「不正確であり、Discordからの金銭を強要するための試みの一部である」と述べています。
政府発行の身分証明書写真の流出については、ハッカーが主張する210万枚ではなく、約7万人のユーザーが影響を受けた可能性があると修正しました。Discordは、違法行為を行った者に対して身代金を支払うことはないと断固たる姿勢を示しています。
交渉と今後の脅威
ハッカー集団は、当初500万ドルの身代金を要求し、後に350万ドルに減額したと報じられています。9月25日から10月2日にかけてDiscordとの間で交渉が行われたものの、Discordが連絡を絶ち、今回の件に関する公式声明を発表したことで、ハッカーは「非常に怒っている」と表明。身代金が支払われない場合、盗んだデータを公開する計画であると脅迫しています。
セキュリティへの示唆
今回の事件は、多くの企業がカスタマーサポートやITヘルプデスクを外部のBPOプロバイダーに委託している現状において、サプライチェーン攻撃のリスクを浮き彫りにしています。外部委託先のセキュリティ体制が不十分な場合、それが主要企業のシステムへの侵入経路となり得ることを示唆しており、企業は第三者ベンダーの管理と監視を強化する必要があるでしょう。