米メイン州司法長官が運営するデータ侵害開示ポータルに、VRChatとDiscordを名乗る虚偽の侵害通知が無審査のまま公開され、両社がそれぞれ事実無根と否定した。公的機関が運営する開示制度そのものが偽情報の拡散に利用されるという異例の事態が明らかになった。

何が起きたか

メイン州司法長官のデータ侵害開示データベースには、企業がセキュリティインシデントを市民に通知するための制度が設けられている。ところが今回、この制度の根本的な欠陥が突かれた。提出された情報は一切の事前検証なしに即時公開されるという運用だ。

偽の通知として確認されたのは以下の2件。

VRChat:240万人規模の虚偽通知

最初に発覚したのはVRChatを名乗る通知だ。「5月10〜12日のハッキングにより、240万人超のユーザーデータが流出した」と記載され、漏洩したとされる情報の種類も詳細に列挙されていた。

  • VRChatのユーザー名
  • メールアドレス
  • VRChat+サブスクリプション状況
  • ログイン履歴(デバイス・ハードウェアID・IPアドレス含む)
  • SteamまたはMetaのユーザーID

通知文はフォレンジック調査の経緯、実施した対策、ユーザーへの推奨アクションまで盛り込まれており、一見すると正規の通知と見分けがつかない完成度だった。しかし、VRChatのコミュニティ責任者チャールズ・タッパー氏は「この通知はVRChatが提出したものではなく、記載された従業員と連絡先も実在しない。システムやデータが侵害されたという根拠はまったくない」とBleepingComputerに明言した。

Discord:1,000万人規模の虚偽通知

同週にはDiscordを名乗る通知も出現し、1,000万人への影響が主張された。こちらは連絡先にGmailアドレスが使われ、電話番号はプレースホルダー(仮番号)のまま。侵害発生日が2024年7月9日で発見日が2025年8月8日、さらにユーザー通知日が「2000年1月1日」と明らかに不整合な日付が並ぶなど、偽物の痕跡が随所に見受けられた。

制度上の根本的な欠陥

メイン州司法長官室はBleepingComputerの取材に対し、次のように認めた。

「提出者がフォームに入力した情報はそのままサイトに掲載される。侵害に関する独自の事前調査は行っていない」 つまり、誰でも任意の企業名・従業員名・侵害内容を入力するだけで、公的機関の公式データベースに記載できるという状態だ。同長官室は今回の虚偽通知について「意図的な虚偽申告の事例は把握していなかった」とも述べており、制度設計の段階でこのリスクが想定されていなかったことが窺える。

実務への影響

日本のIT担当者・セキュリティ担当者が今回の件から得るべき教訓は二つある。

1. 公的機関の開示情報も一次確認が必要

米国では各州のAG(Attorney General)ポータルがデータ侵害の一次情報源として広く参照される。しかし今回の件が示すように、公的機関の掲載情報であっても「企業公式サイトからの一次声明」「セキュリティリサーチャーの独立確認」と照合するプロセスが欠かせない。自社の取引先や利用サービスに関する侵害報道を受けた際は、ポータル掲載内容だけで判断せず、当該企業のプレスリリースやセキュリティアドバイザリを必ず確認する習慣をつけたい。

2. 偽情報に基づく対応コストの現実

今回、VRChatとDiscordはそれぞれ社内調査・広報対応・当局への削除申請といったコストを強いられた。偽の侵害報告が増加すれば、実際の脅威への対応リソースが圧迫される「オオカミが来た」状態が常態化しかねない。これはインシデント対応計画において、情報の信憑性評価フローを明示的に定義しておくことの重要性を示している。

筆者の見解

この問題の本質は技術的な話ではなく、制度設計の話だ。「誰でも入力できて即公開」という仕組みは、透明性と利便性を高めようとした善意の設計だったはずだが、そこに悪意を持って踏み込まれると脆い。

セキュリティの世界では「今動いているから大丈夫」は通用しないと常々感じているが、今回はそれが公的機関の運用にも当てはまる事例だった。事前検証なし・即時公開という運用が「これまで問題がなかった」のは、単に誰も悪用しなかっただけのことだ。

最低限の対策として、企業が登録した公式ドメインや連絡先と提出者情報を突き合わせる程度の自動チェックは導入できるはずだ。完璧な検証は難しくとも、今回の偽Discord通知のように「Gmailアドレス」「プレースホルダーの電話番号」「2000年1月1日の通知日」といった明白な異常値は機械的に弾けた。制度の信頼性を守るためにも、この程度の仕組みは早急に整えてほしいところだ。

日本でも個人情報保護委員会への報告義務など、類似の開示制度は存在する。今回のケースを対岸の火事と見るのではなく、自国の制度に同様の脆弱性がないか確認しておく価値はある。

出典: この記事は Maine breach portal abused to publish fake data breach disclosures の内容をもとに、筆者の見解を加えて独自に執筆したものです。