※本レポートではDiscordのセキュリティ脅威をテーマにDiscordの管理者アカウントに対するソーシャルエンジニアリング攻撃について解説します。なお、本レポートは【前編：古典的なソーシャルエンジニアリング攻撃】【後編：ブックマークレット攻撃】の二本立てで構成しております。

【Discordのセキュリティ脅威シリーズ】

Discordの管理者アカウントなりすましは今に始まった新たなセキュリティ脅威の話題ではありませんが、2023年以降、DecryptやCointelegraphなどの著名な暗号資産ニュースサイトのジャーナリストを装って管理者アカウントを乗っ取るという事件が相次いで発生しており、これまでにEvmos（5月8日/参照）、Starknet ID（5月11日/参照）、LiFi（5月18日/参照）、Cherry Network（5月30日/参照）、Pika Protocol（5月31日/参照）、Orbiter Finance（6月1日/参照）、Flare Network（6月1日/参照）などが類似手法で管理者アカウントを乗っ取られています。

執筆時点で観測された直近の事例としてはCeramicの公式Discordの管理者アカウント乗っ取り（参照）が8月16日に発生しています。Ceramicの報告によると、ハッカーはCeramicの管理者アカウントになりすまして、エアドロップを餌にしたフィッシングリンクを対象コミュニティのチャンネルに投稿し、およそ$1,710(0.93476ETH)をコミュニティメンバーから吸い上げたとされています。

これら一連の類似事件については、どうやらPink Drainerと呼ばれているグループが関与しているらしいということがScamSnifferによる調査で判明しています。観測されたオンチェーン履歴をもとにすると、2023年2月以降から執筆時点までで被害者総数は6,145アドレス、被害総額は$8,910,354にのぼると見積もられています。（下図参照）

今回取り上げるDiscordアカウント乗っ取りの厄介さは、高度なハッキング技術を用いた攻撃ではなく、監査を受けたところで予防することもできないヒューマンエラーを突く古典的なソーシャルエンジニアリング攻撃を起点に発生していることに求められます。

Discordアカウントを乗っ取るためのソーシャルエンジニアリングの手法は一様ではありませんが、Pink Drainerが関与したと思われる2023年に散見される手法と2022年に観察されていた手法には類似性があり、仮にそのような攻撃が流行していることを知っていて、普段から気を付けていれば予防できなくはない手法でもありました。とはいえ、それでも過去何度も類似の攻撃が成功してしまっているのは何故かというと、ターゲットにされた管理者が「それを知らなかった」という事実に加えて、「気をつけていれば」と表現したものの、気をつけていても起きてしまう人間の脆弱性（惰性的な行動パターン）を狙うのがソーシャルエンジニアリング攻撃の本質だから、とも言えます。

また以上の話を聞いて、「アカウントの2FAを有効にしておけば、そんなことにもならないだろうに」と考える方もいるかもしれませんが、もちろん2FAを設定しておくことはアカウントを守るために推奨される良い習慣ではあるものの、今回解説するDiscordアカウント乗っ取り攻撃に対しては残念ながら有効ではありません。

本レポートでは主にDiscord管理者を対象に横行しているアカウント乗っ取り手法の解説を行います。管理者ではない一般的なユーザーはDiscordアカウントの乗っ取りが発生し得るという事実を理解し、管理者アカウントからのサプライズな案内（突然のエアドロ案件など）に浮き足立つ前に「確証のない取引はギャンブルである」ということを念頭に、「急がない」「欲張らない」「何度も検証する」という界隈の先人の教えを噛み締めつつ、嬉々として鳴り止まない胸の高鳴りをまず抑えてから、冷静に行動することが肝要です。経済的リターンという夢物語を追い求めすぎて、思わぬ損失という現実に直面しないよう「ご安全に」日々行動するよう心がけましょう。