オンラインチャットサービス「Discord(ディスコード)」は10月3日、外部委託しているカスタマーサポート会社が不正アクセスを受け、一部のユーザー情報が流出した可能性があると発表した。
Discord本体のシステムには侵入されておらず、被害は限定的だという。
Discordによると、今回の不正アクセスは、同社が委託していたカスタマーサポート会社を狙ったもので、攻撃者はそのシステムを通じて一部のユーザーデータにアクセスした。目的は金銭を要求する「身代金型」の攻撃だったとしている。
影響を受けたデータは、過去にDiscordのカスタマーサポートや安全対策(トラスト&セーフティ)チームへ問い合わせを行った一部のユーザー。
アクセスされた可能性のある情報は、ユーザー名やメールアドレス、IPアドレス、問い合わせの内容のほか、支払い方法の種類やクレジットカードの下4桁、購入履歴などが含まれる場合がある。
また、年齢確認に関する異議申し立てをしたユーザーの一部については、運転免許証やパスポートなどの身分証明書画像が不正に閲覧された可能性もあるという。
ただし、クレジットカード番号の全桁やセキュリティコード(CCV)、Discord上でのチャット内容、パスワードなどは影響を受けていないと説明している。
Discordは不正アクセスを確認後、ただちに該当業者のシステムへのアクセスを停止。社内での調査を進めるとともに、専門の調査会社や法執行機関と連携して原因究明と対応を進めている。関係するデータ保護当局にもすでに報告を行ったという。
影響を受けたユーザーには、公式メールアドレス「noreply@discord.com」から順次連絡を行っている。Discordは「この件に関して電話で連絡することはない」とし、不審なメッセージやメールに注意するよう呼びかけている。
同社は「ユーザーの個人情報を守る責任を真剣に受け止めており、ご迷惑とご心配をおかけしたことをお詫びします」とコメントした。
<参考・引用>
Discord「Update on a Security Incident Involving Third-Party Customer Service」