70,000人のDiscordユーザーの身分証情報が流出した可能性

 (theverge.com)
1 ポイント 投稿者 GN⁺ 2025-10-09 | 1件のコメント | WhatsAppで共有
  • Discordは、サードパーティのカスタマーサポート業者のセキュリティ事故により、約70,000人のユーザーの政府発行の身分証写真が露出した可能性があることを明らかにした
  • 今回の事故はDiscord自体のシステムではなく、外部サービス提供者で発生した
  • 攻撃者は実際の被害規模よりも誇張した数値を広め、Discordに金銭的な脅迫を試みた
  • 被害を受けたすべてのユーザーには個別に直接通知が行われており、Discordは法執行機関などと緊密に連携している
  • 被害を受けた業者との契約を終了し、セキュリティ強化措置を即時に実施した

セキュリティ事故の概要

  • Discordは最近、サードパーティのカスタマーサービス業者で発生したセキュリティ事故について公式見解を共有した
  • 違法行為を行った加害者がオンライン上で誤った情報や誇張された主張(被害者数の水増し)を拡散しており、混乱が生じている

事故の本質

  • 標的となったのはDiscord自体のシステムではなく、顧客サービス支援のために利用している外部業者のシステムだった
  • 外部業者のデータ露出により、最大で約70,000人のユーザーの政府発行の身分証写真が露出した可能性が生じた
  • この身分証情報は主に年齢確認および年齢制限に関する異議申し立て処理のために使用されたデータである

Discordの対応

  • すべての被害ユーザーへの個別通知はすでに完了している
  • Discordは法執行機関、データ保護当局、外部セキュリティ専門家と継続して連携している
  • 事故が発生した外部業者との契約を直ちに終了した
  • 当該システムのセキュリティ対策を強化した

Discordの追加見解

  • 脅威行為者の誤った主張や違法行為に対して取引(補償)に応じる意思は一切ないことを強調した
  • 個人情報保護に対する責任を重大に認識しており、ユーザーの懸念を理解している

関連記事

1件のコメント

 
GN⁺ 2025-10-09
Hacker Newsの意見

  • 自分はもう皮肉っぽくて懐疑的な人間になってしまった気がするが、こういうことはもうまったく驚きではない。誰かに個人情報を渡したら、今やその情報には誰でもアクセスできるものだと思っている。サービスが利用規約で「第三者に情報を販売しない」と明記していても、結局どこかでセキュリティの穴を突かれて漏えいする。これは一企業の問題ではなく、政府が強力なセキュリティ対策を整備・執行しないというシステム全体の問題だと思う。個人情報が守られるという期待そのものをもう捨てたし、本当に重要で非公開のままにしたい情報は、そもそもデジタル化しないし、複製も絶対に許さない

    • 事実が報道されるのは人々を驚かせるためではなく、重要な問題だからだ。今、より多くの政府が年齢確認法を成立させており、その結果まさにこうしたデータがより多くの危険な民間企業に渡っている。今回の漏えい事件は、こうした法律が間違っている証拠であり、この出来事を広く知らせることは世論の変化にも役立つはずだ

    • 問題の原因は政府だ。政府が顧客に無条件で身分証の提示を求めるようにしたせいで、こういう問題が起きている。このデータを収集しないこと以外に、実質的なセキュリティ対策はない。政府はそもそも適切な安全対策も提案できていない。このデータはもう永久に削除されない可能性が高く、Discordが補償しようがしまいが変わらない

    • こうしたことが驚きでないのは、大きな処罰がなかったからだ。人々が大規模漏えいに慣れてしまい、まともな対応がほとんどなかった。そして実際のところ、大企業の利益に反する立法が通りにくいことも原因だ

    • 本当にばかげているのは、責任がいつも個人が神経質に気をつけることにばかり向けられ、肝心のデータを扱うシステムはほとんど何の結果も処罰も受けない点だ

    • 身元確認においてZero Knowledge(ゼロ知識証明)技術が一日も早く日常的に使われるようになるべきだ。すでに個人情報を明かさずに本人確認や年齢確認が可能な技術はあるのに、それが一般に普及するまでにはまだかなり時間がかかりそうなのが残念だ

  • 最も見過ごされている大きな問題は、機微な身分証を扱う第三者事業者の透明性の欠如だ。漏えいが起きるたびに、企業は実際にどの業者がデータを扱っていたのかを明確にしない。この不透明さのせいで、ユーザーはどこに情報が残っているのか分からず、実質的に業者を監視する機会も、監視される機会もない。この層が規制されない限り、今後も漏えいは続き、責任の所在も曖昧なままだろう

    • この第三者事業者の層は、データ漏えいの生態系における「暗黒物質」だ。ユーザーには実体が見えず、企業もほとんど言及せず、問題が起きてもきちんと責任を取らない

  • DiscordはZendeskを使っている(参考)。しかし今回の公式声明では、侵害された第三者事業者がどこなのかを明らかにしておらず、Zendeskは自社サービスではなかったと言っている。ではDiscordはそれ以外のどの第三者事業者を使っていたのか、いったい誰の評判を守ろうとしているのか疑問だ

  • 身分証をなぜわざわざ保存しているのか分からない。年齢確認さえ済めば十分なはずなのに、なぜ保管し続けるのか。こうした企業には、事故発生時にGoogleやCloudflareのようにきちんとインシデントの詳細を公開することを義務づけるべきだ

  • 企業はたいてい、身分証は確認のためだけに使い、その後すぐ削除すると約束する。ではなぜこれほど多くの身分証が漏えいしうるのか不思議だ。本当に毎月何百万件も検証しているのだろうか

    • Discordの案内メッセージ(オーストラリア基準)には、「提供した情報は年齢グループの確認にのみ利用され、確認後すぐに削除される」と書かれている(スクリーンショット参照)。自分はまだ提出していないが、顔認識の過程をどうすればごまかせるか考えている。規模を問わず、チャットアプリに政府発行の身分証を渡したくない。ちなみに年齢区分は「13〜18歳、18歳以上」で十分だと思う。これ以上細かく分けるのは、単にマーケティングやデータ分析に使うために見える

    • 以前の公式声明では、「無許可の人物が『年齢再判定』を申請した一部ユーザーの政府発行身分証画像を少数閲覧した」とされていた(出典)。この場合、異議申し立て処理のプロセス上、一定期間身分証を保管する必要があるのかもしれない。異議の処理に長時間かかるため、長く保管されていて漏えいした可能性はある

    • 約束された即時削除が虚偽だったか、あるいは委託先の第三者事業者が別途データを保管していたのだろう

    • 規定上、本人確認事業者は最大3年間、身分証情報を保存できる。事業者はそれをセキュリティや不正検知のための機械学習トレーニングにも利用している

    • 実際に利用規約に削除すると明記されていたのか、そしてどれほど早く削除するのか具体的に書かれていたのか気になる。こういう用語(「即時」「まもなく」)は契約書に明確に書かれていなければ、いくらでも解釈が分かれうるし、場合によっては政府が法的にデータ保持を義務づけることもある

  • より多くの政府が、ドイツの電子身分証(eID)のように、自分の年齢だけを証明できる仕組みを提供すべきだと思う。本当に必要なのに、実際には使いづらく、活用されていないのが残念だ

    • ベルギーには「itsme」というサービスがある。かなり前からあり、もともとは政府中心で始まったが、今では銀行でもかなり導入されている

    • ドイツのeIDは単に不便なだけでなく、サービスへの導入や連携が簡単ではなく、費用もかかる。むしろ商用システム(有料ソリューション)を使わせる意図で作られたように見える(詳細)

  • 政府発行の身分証をDiscordにアップロードするのは愚かなことだ

    • イギリスではOnline Safety Act遵守のため、13歳以上向けのフリースピーチチャンネルにアクセスするにも、Discordに対して身元を証明しなければならない

    • 13歳未満としてBANされるケースはよくある。たとえば誰かが写真の中のろうそくの本数を聞いてきて、それに答えたあと、チャット内容を「何歳なの?」という文脈に編集されると、その返答が突然年齢を答えたことになってしまう。Discordは昔のMSN MessengerやYahoo IMのような存在で、デジタル上の人間関係やサーバー履歴のすべてがこの一つのアカウントにぶら下がっている。アカウントを失えば友人もコミュニティもすべて断たれるのだから、本人確認から1週間後には身分証情報を完全に削除するか、アカウントパネルから完全に消せるようにすべきだ

    • ユーザーのせいにするのは正しくない。企業は政府の法律によって方針を作り、18歳以上の認証を強制している。自分も顔認識AIで認証しようとしたがうまくいかず、結局推奨どおりカスタマーサポートに問い合わせ、Discordの「確認後ただちに身分証を削除する」という公式方針を見てアップロードした(ポリシー) (削除ポリシー)。しかしDiscordは約束どおり削除できず、漏えいさせてしまった。責任は全面的に第三者事業者と、データをずさんに扱ったDiscord、そしてこうした方針を強制した政府にある。自分たちのような技術に明るい人間ならセルフホスティングや迂回手段を簡単に見つけられても、一般の大衆には無理だ。今回の事件が、今後こうした強制認証政策に抵抗するきっかけになってほしい。しかしイギリス政府は「子どもを守る」と言って、Discordにすべての責任を押しつけるのだろう

    • すでに数多くのクリプト(暗号資産)取引所に、自分の運転免許証、パスポート、その他の身分証が登録されている。どうしようもない現実で、本当のKYC(本人確認)では動画による本人確認手続きも必須だ

  • 「第三者事業者のせい」という弁明は、あまりにもありふれたパターンになっている。政府発行の身分証のような機微な情報を集めるなら、データが誰の手にあろうと、関連するセキュリティは最高水準であるべきだ

  • 単純に気になって尋ねるが、年齢確認完了後もこうしたデータを保存することが法的に求められているのだろうか

    • それが今回の件で最も奇妙な点だ。わざわざなぜこんな責任を背負い込むのか分からない。本当に保存しなければならないなら、漏えいしたら大惨事になる前提で、厳格に分離し、限定的にしかアクセスできない別サービスに置くべきだ

    • 自分は別業界にいるが、本人確認が必要なときは、情報を表示した瞬間にメタデータだけ抽出して、画像はすぐ破棄する。法務部の許可なしにそうした画像を長期保存するなど普通は考えられないし、年齢や名前のような単純な検証ならなおさら理由がない

    • 必ずしも保存していたとは限らず、それは根拠のない推測かもしれない。今回の漏えいは、情報処理の途中でリアルタイムに抜き取られた一時的データだった可能性もあり、常時保存されていた静的なストレージ全体が破られたとは限らない

    • 推測だが、重複アカウント監査のために元の身分証画像を一部保存していた可能性もある。機械学習モデルが二つのアカウントを同一人物だと疑った場合、元画像と照合して重複確認に使う

    • EU(欧州連合)ではむしろ逆だ。GDPR(一般データ保護規則)のため、最小限のデータしか使えず、目的外利用は禁止されている。たとえば年齢確認のために提出されたデータは、認証後に必ず削除しなければならない

  • Zendeskは「DiscordがZendesk CXプラットフォームのAIベースのセルフサービス投資によって円滑なサポートを提供している」と誇っている