Discordが、カスタマーサポート業務補助で利用しているサードパーティーサービスにおいて不正アクセスが発生し、Discordユーザーの一部のデータが流出した可能性があることを発表しました。流出した可能性があるのは7万人分で、ユーザー名、Discord ID、メールアドレスのほかにクレジットカード番号の下4桁、IPアドレス、身分証明書の画像などが含まれるおそれがあるとのことです。

Update on a Security Incident Involving Third-Party Customer Service

https://discord.com/press-releases/update-on-security-incident-involving-third-party-customer-service



Discord says 70,000 users may have had their government IDs leaked in breach | The Verge

https://www.theverge.com/news/797051/discord-government-ids-leaked-data-breach

Discordによると、不正アクセスがあったのはDiscord本体ではなく、カスタマーサポート業務の補助のために利用していたサードパーティーサービス。データ流出のおそれがあるのは、カスタマーサポートまたは信頼&安全性チームと連絡を取ったことのあるユーザーのうち7万人だとのこと。

流出した可能性があるデータはカスタマーサポートに連絡した際に伝えた名前、Discord ID、メールアドレス、その他の連絡先情報と、アカウントに関連付けていた場合は決済方法やクレジットカード番号の下4桁、購入履歴などの請求情報。さらにIPアドレスや、カスタマーサポート担当者とのメッセージ内容も含まれるほか、ユーザーのもの以外では研修資料や社内プレゼンテーション資料といったデータも流出した可能性があります。また、ユーザーから年齢関連の異議申し立ての際に提出してもらった身分証明書の画像にも不正アクセスがあったとのことです。

なお、「クレジットカード番号全体およびCCVコード(セキュリティコード)」「カスタマーサポートとの連絡以外のDiscordでのメッセージやアクティビティ」「パスワードや認証情報」については不正アクセスの影響を受けなかったとDiscordは発表しています。

本件について詳しい情報を持つvx-underground氏は、具体的に不正アクセスを受けたサービスがZendeskであり、脅威アクターは運転免許証やパスポートの写真、合計1.5TB相当(218万5151枚)を入手したと報告しています。



vx-underground氏によると、2025年8月ごろにZendeskへの不正アクセスが相次いだことがあり、Discordはこのときに被害に遭ったと考えられるとのこと。一方で、この不正アクセスを行った脅威アクターはDiscordから積極的に金銭を奪い取ろうとしていて、応じない場合はデータを公開すると脅しているものの、Discordは要求に応じようとはしていないとのこと。この点は、Discord自身も「金を払うつもりはない」と明言しています。