カスタマーサービス会社5CA、Discordのデータ漏洩における責任を否定

nosa

2025.10.16

2025年10月16日：サイバーセキュリティ関連ニュース

カスタマーサービス会社5CA、Discordのデータ漏洩における責任を否定

SecurityWeek – October 15, 2025

カスタマーサービス企業の5CAは15日、コミュニケーションプラットフォームのDiscordで先日発生したデータ漏洩について自社の責任を否定した。

当該のインシデントについては3日にDiscordから公表されており、外部カスタマーサービスシステムへの不正アクセスで一部のユーザー情報が漏洩した可能性があると発表。その1週間後には同社が情報を更新し、内部システムへの侵害はなく、カスタマーサービス業務をサポートしている5CAに責任があると主張していた。

流出したとされる情報は、氏名とユーザー名、メールアドレス、一部の請求情報（支払い方法とクレジットカード番号の下4桁）、IPアドレス、カスタマーサービス担当者とのやり取り、一部の企業データや「少数の官公庁発行の身分証の画像」など。攻撃者から身代金の要求があったとも報じられているが、Discord側は支払いに応じるつもりがないという。

5CAは同社に真っ向から反論しており、そもそもDiscordに提出された官公庁発行の身分証の画像を取り扱っていないと指摘。「当社のあらゆるプラットフォームとシステムは引き続き安全であり、顧客データも厳格なデータ保護およびセキュリティ管理の下で継続的に保護されている」とコメントした。

さらに5CAは「中間調査の結果に基づき、インシデントは当社のシステム外で発生しており、5CAがハッキングを受けていないことを確認できる。5CAのほかの顧客、システム、データへの影響は確認されていない」とし、「人為的ミスが原因の可能性もある」と付け加えた。

なお、名称不明のハッカーグループが犯行声明を出しており、年齢確認のためにDiscordへ提出された1.5TB分の写真（政府発行IDカード210万枚以上に相当）を入手したと主張している。しかしDiscordの発表によると、盗まれた政府発行IDカードは7万人分とされている。

デイリーサイバーアラート

Silobreaker-CyberAlert

サードパーティ

委託先

Discordがデータ侵害を公表、ハッカーにサポートチケットを盗まれる

nosa

2025.10.06

Silobreaker-CyberAlert

サードパーティ

委託先

FortinetとIvantiが深刻度の高い脆弱性を修正（CVE-2025-54988、CVE-2025-53951他）

SecurityWeek – October 15, 2025

Fortinetが30件以上の脆弱性をカバーする29件の新たなアドバイザリを公開した。これらの脆弱性が実際に悪用された証拠はなく、その多くが内部で発見されたと発表されている。

これらの脆弱性の中には、Apache Tikaを使用しているFortiDLPに影響を及ぼすCVE-2025-54988、同じくFortiDLPにおける権限昇格の脆弱性CVE-2025-53951およびCVE-2025-54658のほか、FortiOSに存在する権限昇格の脆弱性CVE-2025-58325、FortiIsolatorに影響するCVE-2024-33507、FortiClientMacのLaunchDaemonコンポーネントにおける権限昇格の欠陥CVE-2025-57741、FortiPAMおよびFortiSwitchManagerにあるCVE-2025-49201など、深刻度評価の高いものがいくつか含まれている。

一方、IvantiからはEndpoint Manager Mobile（EPMM）およびNeurons for MDMの脆弱性に対するパッチが提供された。同社は今月初めに公開された脆弱性の緩和策として、Endpoint Manager向けのアドバイザリも公開している。

EPMMにおいては深刻度の高い脆弱性が3件、中程度の脆弱性が1件修正され、Neurons for MDMでは深刻度の高い脆弱性が2件、中程度の脆弱性が1件修正された。これらの脆弱性についても、実際に悪用されている証拠はないようだ。