コミュニケーションプラットフォームのDiscordは、その本人確認ソフトウェアであるPersona Identitiesのフロントエンドコードがインターネット上や政府のサーバーでアクセス可能であることが判明したことで批判を浴びています。おすすめ動画* * *研究者はXで、米国政府認可のエンドポイントに約2,500のアクセス可能なファイルが存在していることを指摘しました。これらのファイルには、Personaが監視リストに対して顔認識チェックを行い、政治的に露出された人物リストと照合している様子が示されていました。さらに、研究者は、Personaがユーザーの年齢確認に加え、「反社会的メディア」など14のカテゴリーでテロやスパイ活動を含むリストと照合する269種類の検証を行い、その情報にリスクと類似度スコアを付与していることを発見しました。そして、その情報は公開されていました。「私たちは一つのエクスプロイトも書いたり実行したりする必要さえなかった。全体のアーキテクチャがただそこにあっただけだ」と研究者はブログに書き、連邦リスク・認証管理プログラム(FedRAMP)の政府エンドポイントに53メガバイトのデータが存在しており、「アクティブな情報プログラムのコードネームでレポートにタグ付けもされている」と付け加えました。Discordはその後、Personaとの関係を断ち切ると発表しました。このAIソフトウェアは、Palantir共同創業者ピーター・ティールのベンチャーファンドであるFounders Fundの一部資金提供を受けており、OpenAI、Lime、Robloxの年齢確認サービスを引き続き提供しています。PersonaとDiscordは、_Fortune_に対し、提携期間は1か月未満で、その後解消されたと確認しました。Discordによると、このテストに参加したユーザーは少数であり、提出された情報は最大7日間保存された後に削除される仕組みだったとのことです。**Discordの安全性改善の失敗**これは、ゲーマー、学生、インフルエンサー、テック専門家など多くのコミュニティに人気のあるDiscordにおいて、サードパーティのベンダーが敏感なユーザー情報を不適切に扱った事例としては初めてではありません。昨年、ハッカーは70,000人以上の政府IDにアクセスし、年齢確認の要件を満たしたユーザーの情報を取得しました。2025年10月9日の声明で、同社はこの攻撃は「Discordの侵害ではなく、第三者サービス提供者の5CAの侵害である」と述べました。Discordは、この侵害は同社のカスタマーサポートや信頼と安全チームと連絡を取ったユーザーのみに影響したとしています。「Discordでは、ユーザーのプライバシーとセキュリティを守ることが最優先です。そのため、個人情報に影響を与える出来事について透明性を持つことが重要です」と声明は付け加えました。影響を受けたユーザーには、政府IDやIPアドレス、限定的な請求・企業データが漏洩した場合にメールが送られました。また今月初め、Discordはすべてのアカウントをティーンセーフティ設定にデフォルトで設定すると発表し、即座に反発を招きました。追加機能へのアクセスには、Personaを使った年齢確認が必要となるとしました。「グローバルにティーンデフォルト設定を展開することは、Discordの既存の安全性の枠組みを強化するものです」と、製品ポリシー責任者のサバンナ・バダリッチは声明で述べました。同社は「安全の専門家、政策立案者、Discordユーザーと協力し、意義のある長期的なウェルビーイングを支援し続ける」としています。しかし、ユーザーが10月のデータハックを指摘した後、Discordは翌日に声明を修正し、年齢制限のあるサーバーやチャンネルにアクセスしたい場合を除き、年齢確認は任意であると明示しました。Discordは、「既に持っている情報を使ってほとんどのユーザーの年齢を判断できる」と述べ、多くのユーザーは政府IDをアップロードせず、ビデオセルフィーを選択できるとしています。「信頼できるパートナーを通じて複数のプライバシー重視のオプションを提供しています」と付け加え、「顔認証はデバイスを離れません。Discordやベンダーパートナーはそれを受け取りません」と述べました。Discordにアップロードされた身分証明書は、プラットフォームのサードパーティベンダーに提出され、迅速に削除されるとしています。「ほとんどの場合、年齢確認直後に削除される」とのことです。「IDは年齢を確認するためだけに使われ、その後削除される」と続け、「Discordはあなたの年齢だけを受け取り、それ以上の情報は一切得ません。あなたの身元はあなたのアカウントと結びつきません」と述べました。しかし、Discordの年齢確認ポリシーに関するFAQの削除済みバージョンは、第三者ベンダーであるPersonaが政府IDをどれくらいの期間保存するかについての同社の主張と矛盾しているようです。「重要:英国にいる場合、あなたの情報は年齢確認ベンダーのPersonaによって処理される可能性があります」と、アーカイブ版のサイトには記載されています。「提出された情報は最大7日間一時的に保存され、その後削除されます。ID書類の確認には、写真と生年月日以外の詳細はぼかされており、年齢確認に必要な情報だけが使用されます。」**Personaは個人情報を取得**PersonaのCEO兼共同創業者のリック・ソングは、_Fortune_に対し、これらのファイルは脆弱性ではなく、公開されているフロントエンドの情報であると述べました。「見つかったのは、すでにすべての人のデバイスにあるフロントエンドの未圧縮ファイルです」と彼は言い、これらの情報は同社のヘルプセンターやAPIドキュメントにも掲載されていると付け加えました。「未圧縮ファイルをオンラインに置くのは良くないと思います」とソングは続けましたが、研究者が見つけた情報は、圧縮されたソースマップの未圧縮バージョンだとも述べました。「これは内容が怖く見えるかもしれませんが…内部的には、これを大きな脆弱性とは考えていませんでした。」ソングは、PersonaとDiscordの提携は成功だったと考えています。「この製品のパフォーマンスは非常に良かったと思います」と彼は_Fortune_に語りました。「すべてのデータが即座に赤字化されたと断言できるのは、そのデータが処理時にすでに赤字化されていたからです。契約終了による削除ではありません。個人の検証後に即座に削除されます。」ソングは、Palantir、ICE、政府との関係を否定しましたが、FedRAMPの認証取得を進めていると述べました。「私たちはFedRAMPを取得しようとしており、その目的は労働者のセキュリティのために多くの作業を行うことです」とし、これはソーシャルメディアプラットフォームの年齢確認とは全く異なる情報を使っていると説明しました。269種類の検証チェックについて、これらはすべてPersonaが提供するオプションだとソングは述べましたが、クライアントがすべてを必要とするわけではないとも付け加えました。要するに、ソーシャルメディアの年齢確認と、雇用者による背景調査は異なるニーズを持つということです。週末、ソングは、顔認証バイオメトリクスを金融記録や法執行機関のデータベースとリンクさせることはないと否定しました。彼はXに投稿したメールのスクリーンショットで、「Persona、Palantir、ICEの間に何らかの関係があると示唆した研究者の発言は、脅迫につながっている」と述べました。「私たちはICEやPalantirと全く関係ありません」と、メールのやり取りのスクリーンショットには記載されていました。CEOは、反発を受けた社員の中には新卒者や最近入社した人もいると付け加えました。「これらの人たちに非難を向けるべきではなく、もし非難すべきなら私に向けるべきです。」また、ソングは自身の個人情報がオンラインにほとんど公開されていないことについても攻撃されました。Xのユーザーは、ソングのLinkedInプロフィールのスクリーンショットを投稿し、認証バッジはついているもののプロフィール写真がない状態を示しました。PersonaはLinkedInの本人確認リクエストを処理しています。これに対し、ソングは「私は認証されています。それが全てのポイントです。私たちが人々に自己開示を求めるのはディストピア的です。プライバシーについて投稿している人たちが、私に自己開示を求めているのは皮肉です」と書きました。2026年5月19日〜20日にアトランタで開催されるフォーチュン職場革新サミットに参加しましょう。次世代の職場革新の時代が到来し、古い戦略は書き換えられつつあります。このエリートでエネルギッシュなイベントでは、世界の最も革新的なリーダーたちが集まり、AI、人間性、戦略が融合し、再び働き方の未来を再定義します。今すぐ登録してください。
Discordは、コードが米国の監視活動に関連していることが判明した後、ピーター・ティールが支援する認証ソフトウェアとの関係を断ち切る
コミュニケーションプラットフォームのDiscordは、その本人確認ソフトウェアであるPersona Identitiesのフロントエンドコードがインターネット上や政府のサーバーでアクセス可能であることが判明したことで批判を浴びています。
おすすめ動画
研究者はXで、米国政府認可のエンドポイントに約2,500のアクセス可能なファイルが存在していることを指摘しました。これらのファイルには、Personaが監視リストに対して顔認識チェックを行い、政治的に露出された人物リストと照合している様子が示されていました。
さらに、研究者は、Personaがユーザーの年齢確認に加え、「反社会的メディア」など14のカテゴリーでテロやスパイ活動を含むリストと照合する269種類の検証を行い、その情報にリスクと類似度スコアを付与していることを発見しました。
そして、その情報は公開されていました。「私たちは一つのエクスプロイトも書いたり実行したりする必要さえなかった。全体のアーキテクチャがただそこにあっただけだ」と研究者はブログに書き、連邦リスク・認証管理プログラム(FedRAMP)の政府エンドポイントに53メガバイトのデータが存在しており、「アクティブな情報プログラムのコードネームでレポートにタグ付けもされている」と付け加えました。
Discordはその後、Personaとの関係を断ち切ると発表しました。このAIソフトウェアは、Palantir共同創業者ピーター・ティールのベンチャーファンドであるFounders Fundの一部資金提供を受けており、OpenAI、Lime、Robloxの年齢確認サービスを引き続き提供しています。
PersonaとDiscordは、_Fortune_に対し、提携期間は1か月未満で、その後解消されたと確認しました。Discordによると、このテストに参加したユーザーは少数であり、提出された情報は最大7日間保存された後に削除される仕組みだったとのことです。
Discordの安全性改善の失敗
これは、ゲーマー、学生、インフルエンサー、テック専門家など多くのコミュニティに人気のあるDiscordにおいて、サードパーティのベンダーが敏感なユーザー情報を不適切に扱った事例としては初めてではありません。
昨年、ハッカーは70,000人以上の政府IDにアクセスし、年齢確認の要件を満たしたユーザーの情報を取得しました。
2025年10月9日の声明で、同社はこの攻撃は「Discordの侵害ではなく、第三者サービス提供者の5CAの侵害である」と述べました。Discordは、この侵害は同社のカスタマーサポートや信頼と安全チームと連絡を取ったユーザーのみに影響したとしています。
「Discordでは、ユーザーのプライバシーとセキュリティを守ることが最優先です。そのため、個人情報に影響を与える出来事について透明性を持つことが重要です」と声明は付け加えました。影響を受けたユーザーには、政府IDやIPアドレス、限定的な請求・企業データが漏洩した場合にメールが送られました。
また今月初め、Discordはすべてのアカウントをティーンセーフティ設定にデフォルトで設定すると発表し、即座に反発を招きました。追加機能へのアクセスには、Personaを使った年齢確認が必要となるとしました。
「グローバルにティーンデフォルト設定を展開することは、Discordの既存の安全性の枠組みを強化するものです」と、製品ポリシー責任者のサバンナ・バダリッチは声明で述べました。同社は「安全の専門家、政策立案者、Discordユーザーと協力し、意義のある長期的なウェルビーイングを支援し続ける」としています。
しかし、ユーザーが10月のデータハックを指摘した後、Discordは翌日に声明を修正し、年齢制限のあるサーバーやチャンネルにアクセスしたい場合を除き、年齢確認は任意であると明示しました。
Discordは、「既に持っている情報を使ってほとんどのユーザーの年齢を判断できる」と述べ、多くのユーザーは政府IDをアップロードせず、ビデオセルフィーを選択できるとしています。
「信頼できるパートナーを通じて複数のプライバシー重視のオプションを提供しています」と付け加え、「顔認証はデバイスを離れません。Discordやベンダーパートナーはそれを受け取りません」と述べました。
Discordにアップロードされた身分証明書は、プラットフォームのサードパーティベンダーに提出され、迅速に削除されるとしています。「ほとんどの場合、年齢確認直後に削除される」とのことです。
「IDは年齢を確認するためだけに使われ、その後削除される」と続け、「Discordはあなたの年齢だけを受け取り、それ以上の情報は一切得ません。あなたの身元はあなたのアカウントと結びつきません」と述べました。
しかし、Discordの年齢確認ポリシーに関するFAQの削除済みバージョンは、第三者ベンダーであるPersonaが政府IDをどれくらいの期間保存するかについての同社の主張と矛盾しているようです。
「重要:英国にいる場合、あなたの情報は年齢確認ベンダーのPersonaによって処理される可能性があります」と、アーカイブ版のサイトには記載されています。「提出された情報は最大7日間一時的に保存され、その後削除されます。ID書類の確認には、写真と生年月日以外の詳細はぼかされており、年齢確認に必要な情報だけが使用されます。」
Personaは個人情報を取得
PersonaのCEO兼共同創業者のリック・ソングは、_Fortune_に対し、これらのファイルは脆弱性ではなく、公開されているフロントエンドの情報であると述べました。「見つかったのは、すでにすべての人のデバイスにあるフロントエンドの未圧縮ファイルです」と彼は言い、これらの情報は同社のヘルプセンターやAPIドキュメントにも掲載されていると付け加えました。「未圧縮ファイルをオンラインに置くのは良くないと思います」とソングは続けましたが、研究者が見つけた情報は、圧縮されたソースマップの未圧縮バージョンだとも述べました。
「これは内容が怖く見えるかもしれませんが…内部的には、これを大きな脆弱性とは考えていませんでした。」
ソングは、PersonaとDiscordの提携は成功だったと考えています。「この製品のパフォーマンスは非常に良かったと思います」と彼は_Fortune_に語りました。「すべてのデータが即座に赤字化されたと断言できるのは、そのデータが処理時にすでに赤字化されていたからです。契約終了による削除ではありません。個人の検証後に即座に削除されます。」
ソングは、Palantir、ICE、政府との関係を否定しましたが、FedRAMPの認証取得を進めていると述べました。「私たちはFedRAMPを取得しようとしており、その目的は労働者のセキュリティのために多くの作業を行うことです」とし、これはソーシャルメディアプラットフォームの年齢確認とは全く異なる情報を使っていると説明しました。
269種類の検証チェックについて、これらはすべてPersonaが提供するオプションだとソングは述べましたが、クライアントがすべてを必要とするわけではないとも付け加えました。要するに、ソーシャルメディアの年齢確認と、雇用者による背景調査は異なるニーズを持つということです。
週末、ソングは、顔認証バイオメトリクスを金融記録や法執行機関のデータベースとリンクさせることはないと否定しました。彼はXに投稿したメールのスクリーンショットで、「Persona、Palantir、ICEの間に何らかの関係があると示唆した研究者の発言は、脅迫につながっている」と述べました。
「私たちはICEやPalantirと全く関係ありません」と、メールのやり取りのスクリーンショットには記載されていました。CEOは、反発を受けた社員の中には新卒者や最近入社した人もいると付け加えました。「これらの人たちに非難を向けるべきではなく、もし非難すべきなら私に向けるべきです。」
また、ソングは自身の個人情報がオンラインにほとんど公開されていないことについても攻撃されました。Xのユーザーは、ソングのLinkedInプロフィールのスクリーンショットを投稿し、認証バッジはついているもののプロフィール写真がない状態を示しました。PersonaはLinkedInの本人確認リクエストを処理しています。
これに対し、ソングは「私は認証されています。それが全てのポイントです。私たちが人々に自己開示を求めるのはディストピア的です。プライバシーについて投稿している人たちが、私に自己開示を求めているのは皮肉です」と書きました。
2026年5月19日〜20日にアトランタで開催されるフォーチュン職場革新サミットに参加しましょう。次世代の職場革新の時代が到来し、古い戦略は書き換えられつつあります。このエリートでエネルギッシュなイベントでは、世界の最も革新的なリーダーたちが集まり、AI、人間性、戦略が融合し、再び働き方の未来を再定義します。今すぐ登録してください。