TokyoBlackHatNews

hackread.com 5分で読了

管理者が流出範囲をめぐり対立する中、BreachForumsのユーザー323,986人分データベースが流出

2026年1月9日、クリアウェブと「ダークウェブ」の両方で利用可能な悪名高いサイバー犯罪・ハッカーフォーラムであるBreachForumsに属するデータベースが一般公開され、32万人超のユーザーが注目の的となりました。

周知のとおり、BreachForumsは騒動とは無縁ではありません。このプラットフォームは、法執行機関に押収されたり、消えては再登場したりしてきた経緯があります。警察が前身のRaidForums(2022年)を閉鎖した後、こうした活動の“定番”サイトとなっていました。2025年4月上旬には、フォーラムが説明もなく突然姿を消しました。

多くの人が警察の摘発を疑う中、Hackread.comは当時、押収ではなくセキュリティ上の問題が原因でサイトが消えたと報じました 。2025年7月までに、フォーラムは 再びオンラインに復帰しました。

流出したデータベース

Hackread.comと調査結果を共有したResecurityによると、流出ファイルには323,986人のユーザー情報が含まれており、「MySQL DBから抽出されたメタデータ」も含まれています。これは基本的に、画面の向こう側にいる人物の特定に役立ち得るデジタルフットプリントです。

このデータベースはshinyhunte.rsで公開されました。同サイトは過去にも盗難データセットをホストしており、悪意あるコンテンツのリスクがあるため直接アクセスは推奨されません。同じプラットフォームは、Salesforce関連の侵害に結び付くインシデントの後、富士フイルム、GAP Inc.、ベトナム航空、Engie Resources、カンタス航空(Qantas Airways Limited)、Albertsons Companiesに関連するデータ流出にも過去に利用されています。

BreachForumsのデータベースには、過去のフォーラム運営者に歴史的に関連付けられてきた有効なPGP署名が添付されており、データセットが本物で、フォーラム内部システムから発生した可能性が高いことを示しています。

Image
流出したデータベース(画像提供: Hackread.com)

参考までに、ShinyHuntersは絶えず変化する同盟の一部です。Scattered Lapsus$ Huntersや、「The Com」と呼ばれるコミュニティといった名前を耳にするかもしれません。これらは単なる適当な名称ではなく、ツールや標的を共有するために結集した若いハッカーたちの「スーパーグループ」を表しています。

研究者らは別のレポート で、ShinyHuntersという呼称を「疑わしい行為に若いIT専門家が関与する現象を示す」ための広いラベルとして用いていると説明しました。これを強調することで、才能ある他の若者に対し、こうした犯罪的な界隈に近づかないよう警鐘を鳴らしたい考えです。

Hackread.comも流出データセットを独自に確認し、一般的なプロフィールのメタデータに加えて、ユーザーの表示名、メールアドレス、Argon2iのパスワードハッシュ、Telegramなど外部アカウントへのリンクが含まれていることを確認しました。パスワードは平文で保存されていないものの、これらのデータポイントの組み合わせは、影響を受けたユーザーにとって依然として特定・帰属(アトリビューション)上のリスクを伴う可能性があります。

    BreachForumsの反応

    N/Aという別名を使用するBreachForumsの管理者は、データベース流出の報道に対し、露出したデータは2025年8月の古いインシデントに由来するものだと主張しました。管理者によれば、.hnドメインのテイクダウン後のフォーラム復旧作業中に、ユーザーテーブルとフォーラムのPGP鍵が一時的に保護されていないディレクトリに保存され、その期間中に一度だけダウンロードされたとのことです。

    管理者は、このインシデントはサーバー侵害、データベースへのアクセス、またはエクスプロイトを伴うものではないと強調し、現在の「進行中の侵害(ブリーチ)」だとする主張は虚偽だと述べました。また、データセット内のパスワードはArgon2iハッシュとして保存され、IPアドレスは大部分が切り詰められており、残りのフィールドは公開表示される情報で構成されていると付け加えました。フォーラム側は当時すべてのセッションを無効化し、その後、復旧手順は安全に確保されたとしています。

    Image
    BreachForumsの管理者とその回答(画像提供: Hackread.com)

    流出とともに出回っている「James」のメッセージ

    流出したデータベースと併せて、「James」と名乗る人物が署名した長文のマニフェストもshinyhunte.rsに掲載されました。本文には、複数のサイバー犯罪関係者やグループへの言及を含む、扇情的な主張や脅迫が、非常に芝居がかった思想的なトーンで記されていました。

    このメッセージ内の主張について独立した検証はなく、こうしたマニフェストは地下フォーラム内で注目を集めたり、偽情報を拡散したり、帰属(アトリビューション)を混乱させたりする目的で一般的に用いられます。この文章が出回っていることは、著者や名指しされた人物の身元を裏付けるものではなく、事実の開示ではなく未検証のレトリックとして扱うべきです。

    Image
    「James」とそのストーリー(画像提供: Hackread.com)

    この流出が重要な理由

    周知のとおり、犯罪組織がここまで徹底的に露出するのは非常に稀です。このインシデントは、最も悪質なグループであっても、他者に対して悪用しているのと同じ失敗により脆弱になり得ることを示しています。

    研究者らは、犯罪インフラの露出は一般的な企業の情報漏えいよりも広範な防御上の影響を持ち得ると指摘しています。すなわち、不正ネットワークを混乱させ、将来の勧誘を抑止する可能性があるということです。研究者らは、独立した分析のためにデータベースを共有することで、サイバー犯罪の連鎖を断ち切り、こうしたコミュニティへの将来的な関与を思いとどまらせたいとしています。

    翻訳元: https://hackread.com/breachforums-database-users-leak-admin-disputes/

    ソース: hackread.com
    #Argon2iパスワードハッシュ #BreachForums #MySQLデータベース #PGP署名 #ShinyHunters #サイバー犯罪フォーラム #ダークウェブ #データ漏洩 #ユーザーデータ流出 #情報セキュリティ

    関連記事

    次のサイバーセキュリティの課題はAIエージェント認証である可能性がある

    ハッカーがフィッシングメールでGlobal Groupランサムウェアをオフライン配信

    サイバー攻撃が欧州委員会職員のモバイルシステムを直撃