米国当局は、いわゆるScattered Lapsus$ Huntersの指導の下で最近復活したサイバー犯罪バザール、BreachForumsの最新バージョンを、フランスのサイバー警察とパリ検察庁の協力を得て押収しました。
このサイト breachforums[.]hn は、グループの最新の恐喝キャンペーンのための公開リークショップとなっており、その標的はSalesforceとその企業顧客でした。本日、サイトのクリアネット版とオニオン版の両方の訪問者は、米国司法省とFBIによるアニメーションの押収通知で迎えられ、フォーラムのインフラが現在連邦当局の管理下にあることが確認されました。
BreachForumsは、1990年代のボーイバンドよりも多くのカムバックを果たしています。オリジナルバージョンは、2023年3月に閉鎖され、創設者であるコナー・ブライアン・フィッツパトリック(ネット上では「Pompompurin」として知られる)が逮捕されました。それ以来、クローンや後継サイトが次々と現れ、盗難データの悪名高いマーケットプレイスを復活させると主張してきました。
最新バージョンは、データ恐喝グループのリブランド同盟であるScattered Lapsus$ Huntersによって乗っ取られ、「Trinity of Chaos(混沌の三位一体)」と自称しています。
この摘発によりグループは一時的に動揺し、テレグラムチャンネルに「ドメインを押収しても、我々の活動には本当に影響しないぞFBI…もっと頑張れ ;)」と投稿しました。しかしその直後、強気な態度は消えました。「こんにちは、このチャンネルはこの混乱を収拾するまでロックされます」と続くメッセージが投稿され、管理者の一人がオンラインから姿を消したようです。メンバーたちは、すでに連邦当局がチャット内に潜んでいるのではと推測しました。
その後、グループはShinyHuntersの管理チームの一員を名乗る人物からのPGP署名付きメッセージを投稿し、BreachForumsは「正式に終了した」と宣言しました。
「BreachForumsは本日、FBIと国際的なパートナーによって押収されました。これは避けられないことであり、私は驚いていません。私も含め、このグループに関与している者は誰も逮捕されていません。すべてのBreachForumsのドメインは数日前に米国政府によって奪われました。フォーラムの時代は終わりました。」
The Registerが確認したこのメッセージは、フォーラムの最新のデータベースバックアップが侵害され、「2023年から現在までのすべてのデータベースバックアップ」も同様であり、「バックエンドサーバー自体も押収され破壊された」と主張しています。
「BreachForumsが復活することは絶対にありません。もし復活した場合、それはすぐにハニーポットと見なすべきです」と投稿は警告しています。
最後は挑戦的な一文で締めくくられています。「この押収について言うことはあまりありませんが、米国政府が最近我々に対して行った行動は、我々のSalesforceキャンペーンには全く影響していません。」
混乱にもかかわらず、Scattered Lapsus$ Huntersの専用ダークウェブリークサイトは依然として存在しています。固定された投稿では、ギャングが主張する10億件のSalesforce顧客データを身代金要求が満たされなければ公開すると脅迫しています。メッセージでは「明日ニューヨーク時間午後11時59分ちょうどに、支払いをしていない企業のデータがリークされる」と約束しています。
39社の被害者とされる企業の中には、ディズニー、カンタス航空、エールフランス-KLM、UPS、FedEx、ホームデポ、グッチ、トヨタなど、世界的ブランドが名を連ねています。Salesforceはというと、The Registerに対し、身代金を支払うつもりはないと今週初めに述べています。
「Salesforceは、いかなる恐喝要求にも応じず、交渉も支払いもしません」と広報担当のアレン・ツァイ氏は述べ、同社が顧客にも同様の方針を明確に伝えたと報じられています。「これらの身代金要求は過去の、あるいは裏付けのない事案に関連しており、当社は影響を受けた顧客へのサポートを継続しています。現時点でSalesforceプラットフォームが侵害された形跡はなく、また当社技術の既知の脆弱性とも関連していません。」
The Registerの取材によれば、今回の対立の中心となっているデータは新たなSalesforce侵害によるものではなく、過去の侵入から発生したものです。Googleの脅威インテリジェンスグループはこの攻撃がSalesloft Drift(Salesforceの統合機能)のOAuthトークンが悪用されたことに起因し、攻撃者が被害者のCRM設定にアクセスできたと述べています。
つまり、今回のBreachForumsキャンペーンは新たな大規模ハッキングというよりも、法執行機関が迫る前に古い盗難データを必死に現金化しようとする動きに見えます。ニューヨーク時間午後11時59分までにそれが実現するかどうかは不明です――もちろん、ギャングのメンバーがまだ「公開」ボタンを押せる状態であればの話ですが。
米仏の捜査当局がグループの公開プラットフォームを遮断するまでの迅速さを考えると、犯罪者たちが気づいている以上にタイムリミットは迫っているのかもしれません。今のところ、BreachForumsの訪問者は盗難データベースの代わりに派手なFBI押収バナーを楽しむことができます。アニメーションで正義がどのようなものか知りたかった人には、ささやかな慰めとなるでしょう。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/10/10/cops_seize_breachforums/
