- BreachForumsのユーザーデータベース(323,988件)が流出し、ユーザー名、登録日、IPアドレスが露出
- 約70,000件のグローバルIPが実在ユーザーの特定に役立つ可能性;大半のエントリは役に立たないループバックアドレスだった
- 管理者は流出が2025年8月の復旧作業に起因すると確認;ShinyHuntersはサイトのホスティングへの関与を否定
悪名高い地下ハッキングコミュニティBreachForumsから、ユーザー名、IPアドレスなどのデータ一式が流出した。しかし、いったい誰が、なぜ流出させたのかは、まだ明らかになっていない。
最近、ShinyHuntersというランサムウェア運営者の名を冠したウェブサイトがオンラインに現れ、breachedforum.7zというタイトルの7Zipアーカイブをホストするために使われていた。
このアーカイブにはいくつかのファイルが含まれており、その中には323,988件のメンバー記録を含むデータベーステーブルもあった。そこには、メンバーの表示名、登録日、IPアドレス、その他の内部情報が含まれていた。
ShinyHuntersは関与を否定
ユーザーアカウント自体は研究者や法執行機関にとってあまり意味を持たないが、IPアドレスはそうとは限らない。大半はローカルのループバックIPアドレス(0x7F000009/127.0.0.9)に対応しており、BleepingComputerは「ほとんど役に立たない」と報じた。
それでも、127.0.0.9のIPアドレスを含まないアドレスが7万件強あり、これらはグローバルIPアドレスに対応しているため、理論上はユーザー名の背後にいる実在の人物を特定するのに利用できる可能性がある。
フォーラムの管理者は侵害を認め、MyBBのユーザーデータベーステーブルのバックアップが一時的にインターネット上に露出し、ダウンロードされたのは1回だけだったと述べた。
「まず第一に、これは最近の出来事ではありません。問題のデータは、BreachForumsが.hnドメインから復元/復旧されていた期間である2025年8月にさかのぼる、古いusersテーブル流出に由来します」と彼らは述べた。
「復旧プロセスの間、usersテーブルとフォーラムのPGPキーが、ごく短時間だけ、保護されていないフォルダに一時保存されていました。調査の結果、その時間帯にフォルダがダウンロードされたのは1回だけだったことが分かりました」と付け加えた。
誰がデータを流出させたのかも依然として謎のままだ。ShinyHuntersグループは関与を否定し、自分たちの名で立ち上げられたそのウェブサイトとは無関係だと述べた。法執行機関の摘発後、昨夏にBreachForumsが復旧した際、このグループは、フォーラムは他のハッカーやサイバー犯罪者を罠にかけるために警察が作ったハニーポットになったのだと主張していた。
