ロブ・ライト, シニアニュースディレクター, Dark Reading
2025年7月24日
読了時間:4分
出典:Zoran Obradovic(Alamy ストックフォト経由)
法執行機関は今週、悪名高いフォーラムXSSの摘発と、その管理者とみられる人物の逮捕により、サイバー犯罪経済に対して大きな勝利を収めました。
ユーロポールは水曜日、ウクライナ当局がXSSを運営していたとされる匿名の個人を逮捕したと発表しました。同機関はXSSを「世界で最も影響力のあるロシア語サイバー犯罪プラットフォームの一つ」と呼んでいます。ほどなくして、ドメイン ― XSS.is ― はフランス当局によって押収され、閉鎖されました。この法執行活動は、今年に入ってからのサイバー犯罪フォーラムおよびその運営者とされる人物に対する最新の大規模な摘発です。
ユーロポールによると、匿名の容疑者は7月22日にウクライナのキーウで逮捕されました。この逮捕は、フランス警察とパリ地方検察庁が主導し、ウクライナ当局およびユーロポールが支援する協調的な法執行活動の一環でした。
逮捕と閉鎖のニュースは情報セキュリティ業界全体に波紋を広げました。SOCRadarの最高情報セキュリティ責任者(CISO)エンサル・セケル氏は、今回の法執行活動は「より大きなサイバー犯罪エコシステムに対する転換点」だと述べています。
「XSSは単なるダークウェブのマーケットプレイスではなく、過去数年間で最も影響力のあるロシア語サイバー犯罪フォーラムでした」とセケル氏は語ります。「ここは、ランサムウェアのアフィリエイト、初期アクセスブローカー、マルウェア開発者、マネーロンダリングの支援者など、ハイレベルなアクターの重要な拠点でした。実際、最も著名な[ランサムウェア・アズ・ア・サービス]グループの多くが、XSSを通じて人材を募集したり取引を行ったりしていました。」
マルウェアサンプルやセキュリティリサーチを集めるオンラインリポジトリ「XV Underground」は、ソーシャルメディアプラットフォームXへの投稿で、今回の逮捕は「[独立国家共同体]サイバー犯罪エコシステムにとって大きな打撃となる可能性がある」と述べています。
XSSは標的となったのか?
XSSの起源は少なくとも2013年にさかのぼり、当時このロシア語サイバー犯罪フォーラムは「DamageLab」として知られていました。2017年末、ベラルーシ当局は同サイトの管理者セルゲイ「Ar3s」ヤレツを逮捕しましたが、彼は当局に協力したことで1年足らずで釈放されました。
その間に、フォーラムはXSSとして再始動されましたが、これはクロスサイトスクリプティング(XSS)脆弱性に由来しているようです。過去8年間で、XSSはサイバー犯罪アンダーグラウンドで最も活発かつ人気のあるマーケットプレイスの一つに成長しました。SOCRadarはXSSを世界ナンバーワンのダークウェブサイバー犯罪フォーラムと評価し、「不正アクセス販売、マルウェア、セキュリティ脆弱性、データベース取引などの議論が行われる活気あるハッカーフォーラム」と呼んでいます。
ユーロポールは、このフォーラムには5万人以上の登録ユーザーがおり、多くの悪名高いサイバー犯罪組織やランサムウェア集団がメンバー募集、攻撃計画、サービス宣伝の中心拠点として利用していたと指摘しています。
多くのサイバー犯罪フォーラムやダークウェブマーケットプレイスは近年当局によって摘発されていますが、すぐに復活する例も少なくありません。しかし、管理者とみられる人物の逮捕は、今回の法執行活動をより大きなインパクトにする可能性があります。
「XSSが際立っていたのは、単なる規模だけでなく“信頼”でした」とセケル氏は語ります。「厳格な審査プロセス、活発なモデレーターチーム、エスクローサービス、そしてインフォスティーラーのログからゼロデイ取引までを円滑にする評判システムが維持されていました。」
XSS管理者の逮捕は、過去の歴史が繰り返される可能性も示唆しています。もし匿名の容疑者がかつてのヤレツ氏のように当局に協力すれば、XSSコミュニティ内の信頼が崩壊するだけでなく、更なる捜査や起訴、逮捕につながる可能性もあります。
セケル氏は、サイトの閉鎖によってサイバー犯罪者たちの主要な連携拠点が少なくとも一時的に消滅すると述べています。しかし、同様のフォーラムの摘発が短命に終わることも多く、脅威アクターたちは新たなプラットフォームや、Telegramチャンネルのような分散型の代替手段に移行することが多いと指摘します。したがって、法執行活動は重要であるものの、長期的に見れば全体的な脅威状況を減少させることは難しいだろうと述べています。
同様に、Intel 471のアドバーサリーインテリジェンスチームも、法執行活動の全体的な影響を判断するには時期尚早であり、XSSのメンバーが「さらなる監視を避けるために」他のフォーラムに移行する可能性があると指摘しています。
「Duty-FreeやRAMPフォーラムは、新たな主要フォーラムを求めるアクターを引き付ける候補となり得ます」と同チームはDark Readingへの声明で述べています。
さらなる法的措置
XSSに対する作戦だけが、先週注目された法的措置ではありませんでした。火曜日には、米国最大級の違法テレビストリーミングサービス「Jetflicks」を運営していたとして5人が実刑判決を受けたと、米司法省(DOJ)が発表しました。サービスの首謀者であるクリストファー・リー・ダルマンは懲役8年の判決を受けました。
司法省によると、ダルマンはこの違法ストリーミングサービスで数百万ドルの利益を上げており、政府は著作権侵害による損害額を「控えめに見積もっても」3,750万ドルとしています。
先週木曜日、Googleは、BADBOX 2.0という、Androidのオープンソースソフトウェアを搭載した1,000万台以上の認証されていないデバイスで構成される大規模ボットネットの実行者に対して訴訟を起こしたことを明らかにしました。これらの認証されていないデバイスはAndroidのオープンソース版(Android Open Source Project)を実行しているため、Googleの商用版に含まれるセキュリティ保護がなく、脅威アクターによるボットネットなどの悪意ある活動の標的になりやすいのです。
しかし、Googleは反撃に出ています。訴状によれば、中国にいる複数の匿名サイバー犯罪者が、インターネット接続型テレビデバイスとしては最大規模の既知ボットネットを運営しているとされています。「これは米国および世界中で数百万人の被害者に損害を与えており、さらに多くの人々を脅かしています」と訴状は述べています。「予告なしに、ランサムウェアや分散型サービス妨害(DDoS)攻撃など、より危険なサイバー犯罪に利用される可能性もあります。」