流出データや不正なネットワークアクセスの最も悪名高い取引所の一つであるBreachForumsに関連する包括的なデータベースがオンラインで漏えいし、約32万4,000アカウントの認証情報が侵害された。
このプラットフォームは幾度となく姿を変えながら存続しており、その系譜は、運営者が逮捕された後に崩壊した閉鎖済みのRaidForumsにまで遡る。それ以来、BreachForumsはさまざまなドメインで繰り返し復活し、継続的な法執行機関の介入と度重なるセキュリティ侵害にもかかわらず存続してきた。地下コミュニティ内の噂では、現在の版は当局がサイバー犯罪者をおびき寄せるために仕掛けたハニーポットだった可能性すらあるという。
今回の最新の暴露は、ShinyHuntersの恐喝集団に関連するサイト上で、breachedforum.7zという名称のアーカイブが配布されたことを受けて明らかになった。このアーカイブには3つのファイルが含まれていた。フォーラムのユーザーテーブルのデータベースダンプ、秘密PGP鍵、そして「James」として知られるユーザーの手口を記した記述である。ShinyHuntersの関係者はその後、このファイルをホストしていたリポジトリとの関与を否定している。
漏えいしたデータベースには約32万4,000件のエントリが含まれ、ハンドルネーム、登録日、IPアドレス、各種の技術的痕跡が収録されている。フォレンジック分析によれば、IPデータの相当部分は匿名化解除にほとんど役立たないローカル値で構成されている一方、7万件超のエントリには真正なグローバルIPアドレスが含まれており、法執行機関の捜査にとっては大きな収穫となり得る。
データベース内で最も新しい登録日は2025年8月11日で、これは前のドメインbreachforums[.]hnが、容疑上の管理者の逮捕を受けて閉鎖された日と同じである。このドメインはその後、2025年10月に警察の決定的な管理下に置かれるまでの間、ShinyHuntersによる企業被害者への脅迫に悪用された。
「N/A」という別名で活動するBreachForumsの現管理者は侵害を認め、2025年8月のフォーラム復旧時の設定ミスが原因だと説明した。ユーザーテーブルとPGP鍵が保護されていないディレクトリに誤って保存され、アクセスは一度だけだったと主張している。この件を受け、今後の露出を抑えるために使い捨てのメールアドレスを利用するようメンバーに促した。
その後、状況はさらに悪化している。Resecurityは、漏えいした秘密PGP鍵のパスフレーズが、アーカイブと同じサイト上に出回ったと報告した。独立系のセキュリティコンサルタントが、そのパスフレーズが有効であることを確認している。鍵自体は暗号化されたままだが、その開示は、攻撃者が管理者になりすました通信を偽造するリスクを大幅に高め、フォーラム運営陣の信頼性に対する見方を損なう。
翻訳元: https://meterpreter.org/doomsday-for-hackers-324000-breachforums-accounts-exposed-in-massive-leak/
