Discord アカウントハッキング手法解説（悪用厳禁）

はじめに

NFT関連ディスコードに入っていると、アカウントがハッキングされてスキャム投稿されたとか、最近良く見かけます。（ほぼ毎日）
例：

そこで、ハッキング手法の（一例）をお伝えします。

本当はこういった悪用される可能性のある方法を公開するのは良くないかもしれませんが、ハッカー等はこんな情報とっくに知っているし、知らない僕らだけが被害にあっている状態なので、手法を知る事で皆の防御力を高めることが目的です。

また、今回紹介するのは、ほんの一例で他にもいくらでもハッキング手法はあります。日々気をつけて行動しましょう。

アカウントハッキング手法（一例）

• ウイルス感染

• ID、パスワードの使い回し

• QRコード読み込ませログイン乗っ取り

他にも多数あると思いますが、今回は３つ目の「QRコード読み込ませログイン乗っ取り」について紹介。

QRコード読み込ませログイン乗っ取りとは？

手口例：
「Discord内で先着10名にNITRO（Discordの課金アイテム）をギフトする」とか、「Twitter上で先着20名にフリーミント」等の誘い文句で、登録はQRコードを読み込んでください。と言う投稿がされる。

被害者が、QRコードをカメラで読み込むと、Discordの確認画面が表示。良く分からないからOKを押す。
→ この時点でハッカーが既に被害者のアカウントを乗っ取っています。

手口解説

なぜ、QRコードを読み込んだだけなのにアカウントがハッキングされてしまったのか？その理由は、Discordが正式に公開しているログイン方法が悪用されているのです。

公式に用意されているQRコードログイン機能（自分自身が使う用）
まだログインしていないブラウザでDiscordを開くと、ID、パスワードでログインするか、QRコードでログインするか選べます。

これをDiscordログイン済みのスマホで読み取ると、ID、パスワード入力無しで、ログインする事が可能です。（私が試した限り、二要素認証していても関係無し）

詐欺師はこのQRコードを他人に読み込ませて、その人のアカウントを乗っ取ると言う凄くシンプルな手口でアカウントを乗っ取れます。
その後の行動は、ハッカーによって色々でしょうが、一例として

• そのままスキャム投稿をして短期で詐欺を試みる

• パスワード変更して、本人を締め出し（被害者が管理者権限持ってる場合）、Discord内の他の管理者を全員BANして、犯人のバックアップ用アカウントを管理者に設定してから、ハッキングしたアカウントを削除。
  （アカウント取り戻されてもプロジェクトのサーバー自体は取り戻せなくなる）

• 被害者が友達登録している人に、スキャムを送る

• 被害者が友達登録している人のアカウント乗っ取りを試みる

などなど。

どうしたら防げるのか？

• 他人（友人家族でも）の提示するQRコードは気を付ける。（乗っ取られた状態で送られてきてる可能性もある）

• QRコード読み込んだ後に表示される内容を良く確認する。
  とりあえずOK押しちゃいがちだけど、ちゃんと内容を確認。

• この手法を知っているだけでも、防げることもあると思います。

WEB3の世界は中央集権から解放された代わりに、誰も守ってくれません。自分の知識を高めて防御力を上げていきましょう！

---

もしこの記事が少しでも役に立ったなら、しべる作品を是非お迎えください。泣いて喜びます ＆ 次もこう言った記事を書こうと言うモチベーションにつながります。

[固定ツイ]
見る人が思わず笑顔になる様な可愛さを目指しています
➡️3D版しべる🐶https://t.co/RXaIRRJxW3
➡️2D版しべる🐶https://t.co/EXC9GZNi1l
➡️tomonity：3D版しべ子👩🐶https://t.co/PEjFmNe4co
➡️HEXA🐶https://t.co/9Mkya5rwsj
---
➡️Ninja Animals🥷🐻https://t.co/ql0ic6JpFY

— しべる 🐶 | Ninja Animals🥷 | CNF🧩 (@Shiberu_7) July 15, 2022