Malwarebytesは2022年7月23日(米国時間)、「Discord Shame channel goes phishing|Malwarebytes Labs」において、コミュニケーションツール「Discord」のユーザーを標的とした招待詐欺が発生していると伝えた。複数のDiscordユーザーが不審なサーバへの招待メッセージを受け取ったようだ。

  • Discord Shame channel goes phishing|Malwarebytes Labs

    Discord Shame channel goes phishing|Malwarebytes Labs

このメッセージを受け取ったユーザーが招待リンクをクリックすると、表示されたQRコードでDiscordにログインするよう求められる。ユーザーがそのQRコードを読み込んでしまうと、自身のアカウントにアクセスできなくなることがわかった。さらに乗っ取られたアカウントから同じスパム招待メッセージが登録した連絡先に送信されるという。

このようなサイバー攻撃からDiscordアカウントを守るためのヒントが紹介されている。それは次のとおり。

  • 二要素認証 (2FA) を有効にする - ログイン情報を渡してしまった場合でも、サイバー犯罪者は二要素認証が必要となる。設定を有効にした場合はバックアップコードを取得しておく
  • 管理者によるサーバ全体の二要素認証を有効に設定 - 二要素認証を有効にした管理者のみが利用可能な管理者権限を使用できるようになる
  • プライバシーと安全性の設定の使用 - すべてのダイレクトメッセージが年齢制限のあるコンテンツについてスキャンされるよう設定が可能。友だちリストに載っていない人を制限する設定もできる
  • ブロックとフレンドリクエストの機能を利用する - Discord にフレンドリクエストを送ることができる人を指定できる。「Everyone」、「Friends of friends」、「Server members」から選択できる
  • ハッキングされたアカウントや不審なアカウントを報告 - 不正なアカウントや不審なアカウントを報告するセクションが用意されている。有害なリンクを送信する特定のボットを報告するためのフォームも用意されている。

Discordはブラウザから直接取得したQRコードのみをスキャンし、他のユーザーから送信されたコードを使用しないよう警告している。Discordユーザーは不審な招待メッセージが送られてきてもリンクを踏まないことや無視するなどの対策を行うことが推奨される。