メイン州司法長官事務所は、6 月 8 日以降に Discord と VRChat を装った偽のデータ漏えい届出が同州の公式通知ポータルに自動公開された問題を受け、公開閲覧機能を一時停止しました。Discord 名義の届出は「インサイダーの不正により 1,000 万人超の情報が流出」、VRChat 名義は「240 万人のデータ流出」と虚偽の内容で、両社はいずれも届出を否定しています。
主なポイント
- VRChat 名義の届出は実在しない「Scott Caruso (Director)」を提出者とし、メール
scaruso@vrchat.comも返送される偽アドレス - Discord 名義の届出 (6 月 8 日付) は提出者が個人 Gmail、電話番号もダミー、通知日付に「2000 年 1 月 1 日」を入れるなど明らかな不整合
- 同州のポータルはフォーム送信内容を検証せずそのまま公開する設計で、第三者がブランドを騙って詐欺的な届出を投稿可能だった
- 企業側からの届出フォームは引き続き受け付けるが、公衆が過去の届出にアクセスするには司法長官事務所への直接照会が必要に
- 米国の州別漏えい通知制度は迅速性を優先する設計が多く、認証の薄さが今回露呈。他州への波及懸念も指摘されている
出典: Maine disables data breach notification portal after fake disclosures (BleepingComputer)