Discord、不正アクセスで個人情報流出　運転免許証画像やIPアドレスなど漏洩

2025年10月3日、米Discord社は、外部のカスタマーサポート委託先が不正アクセスを受け、ユーザー情報が流出したと発表した。
影響を受けたのは同社のサポートや安全対策チームに問い合わせた一部利用者で、運転免許証やパスポートの画像が含まれる可能性もある。

第三者委託先の侵害でユーザーデータ流出、Discordが調査継続

Discordは声明で、外部のカスタマーサポート委託先が不正アクセスを受け、サポート経由でやり取りした一部ユーザーの個人情報が流出したことを明らかにした。
今回の侵害はDiscord本体のシステムには及ばず、第三者の顧客対応システムのみが標的となったという。

漏洩の対象には、氏名、Discordのユーザー名、メールアドレス、その他の連絡先情報、支払方法の種類やクレジットカードの下4桁、購入履歴、IPアドレス、サポート担当者とのメッセージ内容などが含まれていた。
また、年齢認証の再審査を行った一部ユーザーについては、運転免許証やパスポートなどの身分証明証にもアクセスされたと説明している。

ただ、クレジットカードの番号全体や、カスタマーサポート以外とのやり取り、パスワードなどのデータは流出していないという。

Discordは事態を把握した直後、委託先のチケットシステムへのアクセス権を即時に無効化し、社内調査を開始した。
さらに、大手コンピュータフォレンジック企業および法執行機関と連携して調査を進めている。
対象となるユーザーには、公式アドレス「noreply@discord.com」から順次通知を送信中だという。

外部委託のリスク顕在化　企業に求められる情報管理の再点検

今回の事案は、企業が外部委託先を通じてユーザーデータを扱う際のリスクを改めて示したと言える。
クラウドベースのサポート業務が拡大する中で、委託先のセキュリティ基準が十分に確保されていない場合、結果的に本体企業の信頼を損なうことになり得る。
Discordの迅速な対応は評価できる一方、再発防止にはサプライチェーン全体の監査強化が不可欠となるだろう。

今後は第三者システムのアクセス制御や監査ログの可視化、データ暗号化などの対策をより厳格に実施することが求められる。
また、ユーザー側にもフィッシングやなりすましメールへの警戒を呼びかけており、被害の二次拡大防止が焦点となりそうだ。

AIサポートや外部委託の自動化が進む現状を踏まえると、委託構造の複雑化が新たな脆弱性を生む可能性もある。Discordを含むグローバル企業には、透明性を維持しながら、セキュリティ基準の再構築を迫られる局面が続くだろう。