hakonamyのblog

ひきこもりです。

Discordサーバー「荒し連合」に参加したらパスワードを盗まれた

概要


2023年3月くらいにDiscordで「荒し連合(名前の記憶曖昧)」というサーバーに興味本位で入ってみたところ、アカウントのパスワードを盗まれて勝手に操作された。自戒と注意喚起の目的でその時の経緯を思い出してみる。
パスワードが盗まれた原因は知識不足によるミス。

荒し連合に参加する


自分が普段いるサーバーに「荒し連合(仮)」という名前のサーバーのURLが貼られていて興味本位で参加する。
チャットを覗いてみると「次、どこそこ荒そうぜ」とかゲームの話とかが行われていた。VCも行われていた気がする。テキストの内容や喋り方から予測するとメンバーの年齢は中学生~大学生くらいだと思う。はじめましてよろしくお願いしますのテキストを送ってあとは興味を失ったので参加したまま放置していた。

勝手に怪しげなサーバー「楽天」に参加させられる


その1週間後くらいから異変は起きた。Discordを開くと全く心当たりが無いのに勝手に怪しげなサーバーに参加させられている状態になっているのだ。
サーバー名は「楽天」という名前で、参加している人の年齢はテキストからこれもまた中高大くらいだと予想。サーバーのカスタムURLも作成されていて、たしかdiscord.gg/rakutenだったと思う。3ヶ月後くらいにこのURLを開いてい見たが、無効になっていた。
どんな事が話されていたか、思い出してみると「トークン」や「通貨」や「お金稼ぎ」みたなワードが飛び交っていた。小銭をを稼ぎたい学生がDiscordを利用して怪しげなことをしているという感じ。
正直その時の自分はアカウントをハックされているということに気づいておらず、「なんで勝手にサーバーに参加しているんだろう」と疑問に思いながらもすぐに退出した。しかし、この強制参加は3日後くらいにまた発生し、その後も何度退出してもいつの間にか「楽天」に参加状態になっていた。

楽天のガキンチョと喋ってみる


正直このことについて対して気にしていなかったのだが、何度も強制参加させられるのでさすがに鬱陶しいしなにかおかしいぞ。と思い、楽天のサーバーで直接この事について尋ねてみた。

俺「おい、ここがどういうサーバーなのか知らんが勝手に参加させるのやめて」
ガキンチョ「ww」
俺「何度も参加させられて鬱陶しいんだが」
ガキンチョ「ww」
俺「これどうやって勝手に参加させてるの?」
ガキンチョ「パスワード盗まれてアカウント操作されてますでw」
俺「え」

というわけでこの時初めて自分のパスワードが盗まれていることに気づいた。アカウントを勝手に操作されている時点で普通の人ならとっくにおかしいと気づいているかも知れないが、まさか自分がパスワード盗まれるとは思ってもいなかった。その時の会話のスクショ画像がたまたま残っていた↓(Honyaが自分のアカウント)。

https://gyazo.com/56221441430be37170e0f4aa748b3185


「パスワード見れるわけじゃないしw」という自分の発言に対して「いや、パスワード盗まれてるでw」と返答されて唖然とした。

いつパスワードを盗まれたのか


ここまでの話だと自分がした行動は「荒し連合(仮)」に参加して少しメッセージを送っただけでパスワードが盗まれるようなことはしていないのではないかと思うかもしれないが、「楽天」のガキンチョに聞いてみたところ自分に落ち度があったようだ。
「荒し連合」に参加するだけでパスワードを盗まれることはもちろん無い。が、参加する際に、Botの連携の許可を聞かれていたらしい。自分にはその記憶がないのだが、多分適当にOKを押してしまったのだろう。
下の画像3のAuroraBotというのがまさに凶悪な違反アプリケーションでこのAuroraBotとの連携を許可してしまうと、驚いたことに他人のパスワードを盗んでアカウントを勝手に操作できてしまうらしい。Discordの開発者はなぜそんな権限をBotに持たせることを許可しているのだろうか。

https://gyazo.com/2bbdcc04eee0e236a7caa1b2ff206d23
https://gyazo.com/5a60a9d19295e49cb80b4b167c5a812b


更に悪いことに、その時の自分はプライバシーに関するリテラシーが低かったので絶対にやってはいけない「パスワードの使い回し」をやってしまっていた。というのはDiscordのアカウントのパスワードとGmailアカウントのパスワードを同じものにしていたのだ。つまり、他人が自分のGmailアカウントも勝手に操作することができてしまう状態になってしまっていた。
すぐにDiscordとGmailのアカウントのパスワードを変更したところ、幸いDiscordサーバーに勝手に参加させられる以外の他者からの操作は今のところ何も起きていないがどんなことをされるかわからずとても不安だった。

インターネットをする上で気をつけること


この出来事でパスワード管理の重要性とDiscordに潜む危険性を知ったのでインターネット漬けの人間として多少はプライバシーに関して気をつけるようになった。
今回のことから学んだことはこんな感じ。
 Discordの信用できないBotに自分のアカウントへのアクセス許可を出さない。
 パスワードは使い回さない。いちいちパスワードを覚えるのは面倒なのでBitwardenなどの管理ツールを使う。

特に自分のような事例を知らなければDiscordを普通に使っているつもりでいつのまにかBotに不正アクセスの権限を許可してしまうことは十分ありえると思う。