―信頼されていたリンクがマルウェアの入口に―

多くのユーザーに支持されているチャットツール「Discord」。その使いやすさと信頼性を背景に、個人から企業まで幅広く利用されています。ところが、その招待リンクの仕様が悪用される新たなサイバー攻撃が確認されました。セキュリティ企業Check Pointによると、攻撃者はDiscordの仕様上の“穴”を突き、期限切れや削除済みの招待リンクを偽サーバーへ誘導する手段として再利用しているといいます。

攻撃の仕組み：Discordのリンク仕様を逆手に

Discordの招待リンクには以下の3種類があります。

• 一時的リンク：一定時間で自動失効（例：30分、24時間）
• 永久リンク：期限なし。明示的に設定が必要
• カスタムリンク（Vanity URL）：Boostレベル3以上のサーバーで利用可。任意の文字列を設定可能

このうち、カスタムリンクは削除や有効期限切れの後に“同じ文字列”で再取得できるという仕様があります。つまり、かつて正規のサーバーが使用していた「https://discord.gg/mygame」といったリンクが、現在では**攻撃者が設置した偽サーバーにつながってしまう**可能性があるのです。

この問題は、SNSやブログ、技術フォーラムなどで過去に信頼されたリンクが生きていると思ってアクセスするユーザーを、悪意ある環境へ誘導できてしまうという重大なリスクをはらんでいます。

ユーザーにマルウェア実行を“手助け”させる「ClickFix」

偽サーバーに誘導されたユーザーには、Discord公式を模した「認証手続き」が提示されます。エラーを装って「手動で確認を完了してください」と表示し、PowerShellコマンドの実行を誘導する手法です。このようなユーザー操作を伴うマルウェア誘導型のソーシャルエンジニアリング手法を、Check Pointは「ClickFix」と命名しています。

この手法では、Pastebinなどの外部サービスからPowerShellスクリプトをダウンロードし実行することで、攻撃者はユーザーの端末を制御下に置きます。

感染後の挙動：狙われるリモート操作と仮想通貨

実行されるスクリプトは以下のような多段階攻撃チェーンを構成します：

• PastebinやGitHubを経由したマルウェアのダウンロード
• EDRやアンチウイルスの検知を回避するための段階的感染
• 以下のようなマルウェアが展開される：
  • AsyncRAT（リモート操作型トロイの木馬）
  • Skuld Stealer（仮想通貨ウォレットやDiscordトークンの窃取）
  • ChromeKatz（Chromeの「Application-Bound Encryption」回避とCookie奪取）

これらの情報はDiscordのWebhook経由で外部に送信され、従来のネットワーク監視では把握が困難という課題もあります。

情報システム部門への対応提言

企業や組織がDiscordを用いてコミュニティ運営や顧客サポートを行っている場合、以下のような対応が求められます：

1. 招待リンク管理の強化

• 必ず期限付きリンクを使用し、定期的に更新
• 「永久リンク」や「カスタムリンク」は不用意に放置せず、使用終了後は明示的に無効化
• WebサイトやSNSに掲載された古いリンクの定期チェックと削除対応

2. セキュリティ教育と周知

• 「リンクをクリックする前に一度疑う」習慣をユーザーにも徹底
• Discord経由の認証操作においてPowerShell等の実行要求には応じないことを明示

3. 技術的対策

• EDRやSIEMなどによるPowerShell実行の監視
• Discord Webhook通信を含めた異常通信の検出ルール強化

まとめ

今回の攻撃事例は、信頼されていたインフラが「裏切られる」リスクを象徴するものであり、セキュリティ担当者はこのような“仕様を突いた攻撃”にも目を向ける必要があります。リンク一つがトロイの木馬の入り口になり得る時代、技術対策だけでなく、「運用」「教育」「認識」すべての面からの対応が急務です。

引用元記事：https://rocket-boys.co.jp/security-measures-lab/discord-invite-link-vulnerability-exploited-in-cyberattack/