何度も復活を繰り返してきたサイバー犯罪マーケットプレイス「BreachForums」が、データ侵害により約324,000件のユーザーアカウントに紐づく詳細が流出し、自らつまずく形となった。
Have I Been Pwnedによると、この悪名高いハッキングフォーラムの最新の姿は2025年8月に破られ、メールアドレス、ユーザー名、ハッシュ化されたパスワードが露出した。同サイトはこの事案を1月10日にデータベースへ追加した。
盗まれたとされるユーザーデータはその後、shinyhunte[.]rsに投稿され、自称サイバー無法者で「James」を名乗る人物からのメッセージも添えられていた。彼は自分の仕業が見過ごされないようにしたかったようだ。
Have I Been Pwnedの掲載ページによれば、この侵害は法執行機関が2025年10月にBreachForumsのドメインをテイクダウンする前に発生しており、流出には約324,000件のユニークなメールアドレス、ユーザー名、Argon2でハッシュ化されたパスワードが含まれていた。これらは公開投稿、プライベートメッセージ、その他のフォーラム記録から抽出されたものだという。
Resecurityによる侵害分析によると、流出したデータベースにはサイバー犯罪界隈で活動する実在の個人に結び付く記録が含まれており、GnosticPlayersなどのグループに以前関連していた犯罪者も含まれるという。ShinyHuntersやIntelBrokerといったハンドル名を使うアカウントに紐づくPGP鍵もダンプ内で見つかった。
データベースは「James」による冗長で自己陶酔的なマニフェストとともに公開されており、その中には悪意ある活動に関与したとされる他の不良分子を示す発言や識別子も含まれていた。いくつかのエントリは編集されたり、部分的に削除されたり、改ざんされたように見えるが、Resecurityは資料の相当部分が本物であるように見えると述べた。
研究者の注意を引いた点の一つはタイミングだ。流出データベース内で最も新しい登録日は2025年8月11日で、これは以前のBreachForumsサイト(breachforums[.]hn)が閉鎖された日と同じであり、フォーラムが最期の時間帯に入る際にデータが持ち出されたことを示唆している。
Resecurityは、VPNの使用が状況を不明瞭にするとの注意を促しつつ、流出に含まれるIPデータを確認したと述べた。それでも記録は、米国および欧州の一部からの利用が多いことを示しており、中東・北アフリカでもモロッコ、ヨルダン、エジプトを含む活動が見られるという。
このセキュリティ企業は、データの公開が名指しされた人々に現実的な影響をもたらし得ると警告した。「このデータの公開を受け、間違いなく多くの脅威アクターは身元を隠すことが難しくなり、逮捕されるリスクが高まるだろう」と同社は述べた。
この流出は、現在のBreachForums管理者(N/Aという別名で知られる)からの珍しい公の反応も引き出した。フォーラム投稿で管理者は露出について謝罪しつつ、データ自体は新しいものではないと主張した。
「データベース流出疑惑に関する最近の議論に対応し、何が起きたのかを明確に説明したい」とN/Aは書いた。「まず第一に、これは最近の出来事ではありません。問題のデータは、BreachForumsが.hnドメインから復旧/復元されていた期間である2025年8月にさかのぼる、古いユーザーテーブル流出に由来します。」
管理者によれば、問題はフォーラム復旧時のずさんな取り扱いに起因していた。「復元プロセスの間、ユーザーテーブルとフォーラムのPGP鍵が、ごく短時間だけ保護されていないフォルダに一時保存されていました。調査の結果、その期間中にフォルダがダウンロードされたのは一度だけであることが分かりました」とN/Aは付け加えた。
管理者はまた、「James」がShinyHunters集団と関連している可能性があるとも示唆したが、この主張は独立に検証されていない。
かつては半私的なフォーラム内にあった詳細情報が、いまや拾い上げられ、突き合わせられるようになった――そして流出で名指しされた人々にとって、それはサーバー上でひっそりと埃をかぶっていた古いフォーラムバックアップとはまったく別の問題だ。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/12/breachforums_breach/
