以下のような発言が私の参加している Discord サーバに貼られていた。どうもコピペらしい。

【安全性問題についてのお知らせ】

先日ディスコにQRコードログイン機能が実装されましたが、
現在、大きな抜け穴が発見されており、それを利用し、他人のアカウントを乗っ取る事が出来ます。

もし誰かがQRコードを貼り、「ディスコアプリでスキャンすればディスコードNitroを無料で手に入れられるよ」等と主張する場合、絶対にスキャンしないでください。

各サーバー管理者も、それらしき物を発見した場合、すぐ削除してください
気を付けて下さい。

これだけだと何が何だかわからん気もするので簡単に解説する。結論としては「そこそこに危ない」。

"QRコードログイン機能" ってどういう機能？

スマートフォンの Discord アプリから Discord にログインしていれば ID・パスワードの入力無しに簡単に PC から Discord にログインできる機能。

どうやって使うの？

Discord のログインページにアクセスするとこの記事を書いている時点では次のような画面が表示される。

※この画像内の QR コードは別の安全なページへのリンクに改編されている。

この QR コードをスマートフォンの Discord アプリ付属の QR コードリーダーで読み取る。スマートフォンの Discord アプリ付属の QR コードリーダーは設定より以下をタップすると起動できる。

なお、LINE の QR コードリーダー等別の QR コードリーダーから読み込んだ場合は Discord の QR コードリーダーが起動されるようになっているため、見つけられなければそういった別の QR コードリーダーから読み込むと良い。

読み込むと次のような画面がスマートフォン（タブレットかもしれないが）に表示される。

この "IT'S ME! LET ME IN." をタップする。

PC の方を見てみるとログインが完了している。この際はスマートフォンの Discord アプリでログインしていたユーザの名義でログインすることになる。

PC の方ではなくスマートフォンを操作することで PC のログインを操作できる。こうやってみるとなんとも不思議な機能であるが、こういうものである。

発生する操作の流れ

上述の操作で登場する人物と機器のやりとりをまとめると次のようになる。

この際、PC を操作して QR コードを生成した人と、スマートフォンを操作して QR コードを読み込んだ人が同じであることを確認してほしい。

発生しうるリスク

ではPC を操作して QR コードを生成した人と、スマートフォンを操作して QR コードを読み込んだ人が違う場合はどうなるのか。結論は『攻撃者は自分が QR コードを他人に読ませることで他人の名義で Discord にログインできる』。

攻撃者（図左上）が生成した QR コードを別のユーザのスマートフォンで読み込んだ場合、攻撃者は別のユーザのスマートフォンでログインしていた Discord ユーザの名義でログインすることになる。別のユーザのスマートフォンでログインしていた Discord ユーザは十中八九スマートフォンの持ち主が持っている Discord ユーザであるため、攻撃者は他人の名義で Discord にログインすることができる。

対処

そもそも "IT'S ME! LET ME IN." を叩く画面には You have unlocked the magic pass to login on your computer! Confirm that it's you on the PC と出ている以上、この画面が出た時点で「なんかおかしいのでは？？」と思いたいものである。半面、Discord の言語設定を日本語にしていても英語で表示されるのはあまりやさしいとは言い難い。また、この機能を使ってログインするとアカウントに二段階認証を設定していてもそれをスキップしてログインできるようだ。この面については流石にどうかな、とちょっと思う。

参考までに

「これ危ないんじゃね？」という話は Major flaw with QR scan – Discord で議論されている。