** 本記事は、Taking the shine off BreachForums の翻訳です。最新の情報は英語記事をご覧ください。**
2025 年 6 月 25 日、フランス当局は、サイバー犯罪グループ ShinyHunters (別名 ShinyCorp) のメンバー 4 人が、サイバー犯罪活動および英語のアンダーグラウンドフォーラム BreachForums への関与の疑いで、フランス国内の複数の地域で逮捕されたと発表しました。「ShinyHunters」、「Hollow」、「Noct」、および「Depressed」のペルソナを標的とした国際的な法執行機関の連携作戦は、BreachForums を管理していた Kai West (別名「IntelBroker」) が 2 月に逮捕されたことに続くものです。
サイバー犯罪グループ ShinyHunters は 2020 年から活動しており、通信、e コマース、テクノロジー、小売などの業界の組織に対して攻撃を行ってきました。このグループは、窃取したデータを RaidForums と BreachForums でのみ販売することで知られています。ShinyHunters というペルソナは、これらのフォーラムで投稿者や管理者としての役割を担っていました。
BreachForums は 2015 年に RaidForums として開設されて以来、何度も閉鎖され、複数のペルソナによって管理されてきました。表 1 は、このフォーラムにおける主な出来事の年表です。
| 日付 | イベント | 詳細 |
| 2015/03/19 | RaidForums の開設 | Diogo Santos Coelho (別名「Omnipotent」) が RaidForums を設立。 ピーク時には 53 万人以上のユーザーを抱える、最大級のデータ漏洩フォーラムとなる。 |
| 2022/01/31 | 逮捕 | Coelho が米国当局の要請により英国で逮捕される。 |
| 2022/02/25 | フォーラム閉鎖 | RaidForums にアクセスできなくなり、認証情報窃取目的と疑われる模倣フォーラムが出現。 |
| 2022/03/04 | BreachForums (v1) 開設 |
Conor Fitzpatrick (別名「Pompompurin」) が RaidForums の後継として BreachForums を設立。 |
| 2022/04/12 | ドメイン差し押さえ | 米国当局が Operation TOURNIQUET の一環として RaidForums のドメインを差し押さえたことを発表。 |
| 2023/03/15 | 逮捕 | Fitzpatrick がニューヨーク州ピークスキルで逮捕される。 |
| 2023/03/21 | フォーラム閉鎖 | 「Baphomet」という管理者が、法執行機関を警戒してフォーラムを閉鎖。 |
| 2023/06/12 | BreachForums (v2) 開設 |
ShinyHunters と Baphomet が BreachForums (breachforums . vc) を再開。 |
| 2023/06/18 | フォーラムの侵害 | BreachForums が「OmniForums」によって侵害され、約 4,000 件の会員データが流出。 |
| 2024/05/15 | ドメイン差し押さえ | 米国当局が複数の BreachForums ドメインを差し押さえる。 |
| 2024/05/29 | BreachForums (v3) 開設 |
BreachForums (breachforums . st) が再度公開される。ユーザーからはハニーポットではないかと警戒されたが、最終的に本物だと判断される。 |
| 2024/06/14 | リーダーの交代 | ShinyHunters が引退し、「Anastasia」というユーザーが所有権を引き継ぐ。 |
| 2024/08/01 | リーダーの交代 | IntelBroker が管理権を引き継ぐ。 |
| 2025/01/01 | リーダーの交代 | IntelBroker が所有者を辞任し、Anastasia が引き続きフォーラムの管理者に。 |
| 2025年 2月 | 逮捕 | 国際法執行機関がフランスで Kai West (IntelBroker) を逮捕。 |
| 2025/04/28 | フォーラム閉鎖 | 多くの主張や噂があるものの、フォーラム消滅の理由がフォーラム管理者や別の攻撃グループ、法執行機関によるものかは不明。 |
| 2025/06/04 | BreachForums (v4) 開設 |
ShinyHunters がフォーラム (breach-forums . st) を再開。 |
| 2025/06/09 | フォーラム売却 | ShinyHunters がフォーラムの売却を発表。 |
| 2025/06/22 | 逮捕 | 法執行機関の連携作戦により、フランス当局がサイバー犯罪グループ ShinyHunters のメンバーを逮捕。 |
| 2025/06/25 | 連邦政府による起訴 | 米国当局が、Kai West (IntelBroker) を複数のサイバー犯罪で起訴する書状を公開。 |
表 1: BreachForums の主な出来事の年表
ShinyHunters のペルソナは、2023 年 6 月に Baphomet と共同で BreachForums の 2 つ目のインスタンス (v2) を立ち上げ、その後 2025 年 6 月に単独で 4 つ目のインスタンス (v4) を立ち上げました。その間のバージョン (v3) は 2025 年 4 月に突然消失しましたが、その原因は不明です。「Dark Storm Team」は、DDoS (分散型サービス拒否) 攻撃によってフォーラムを停止させたと主張しています (図 1 参照)。他のペルソナは、BreachForums から追放されたことへの報復として Qilin ランサムウェアの攻撃者がフォーラムを停止させたと報告しています。また、法執行機関が原因であるという噂も流れました。
図 1: BreachForums の閉鎖について犯行声明を出す Dark Storm (出典: X)
6 月 4 日、Counter Threat Unit™ (CTU) のリサーチャーは、ShinyHunters ペルソナの管理下で BreachForums (v4) が再開されたことを確認しました。初期の投稿の 1 件は、2024 年に BreachForums (v3) を掌握した有名な BreachForums の投稿者である IntelBroker によるものとされています。このペルソナは、データベースのダンプや侵害済みシステムへのアクセスを販売することで知られており、サイバー犯罪グループの CNZ (差別的な表現のため略称表記) や GOLD PUMPKIN (別名 HELLCAT) と関係していました。2025 年 1 月、このペルソナは BreachForums の所有者を辞任 (図 2 参照) したため、逮捕に関する噂が流れました。この噂は 6 月 25 日、米司法省が IntelBroker の名で活動していた Kai West に対する起訴状を公開したことで裏付けられました。West は 2 月に逮捕されているため、6 月の BreachForums への投稿は、West になりすました別の人物による投稿だということになります。
図 2: BreachForums の所有者を辞任することを報告する IntelBroker (出典: X)
BreachForums (v4) は短命に終わりました。6 月 9 日には掲示板に閉鎖の通知が表示され、フォーラムが 2,500 ドルで売りに出されていることが告知されました (図 3 参照)。メッセージでは、詐欺師に対して「近づくな」と明確に警告が発されていました。その 2 週間後、ShinyHunters のメンバーは逮捕されました。
図 3: BreachForums の売却を宣伝する ShinyHunters (出典: BreachForums)
本記事執筆時点で、BreachForums は閉鎖されたままです。フォーラムの今後は不透明ですが、再開がくり返されるパターンは続く可能性があります。
今回の逮捕は、サイバー犯罪者のインフラと活動に対する法執行機関の圧力が強まっていることを反映しています。米国司法省が発表した Kai West の逮捕と起訴に関する声明において、FBI の Christopher G. Raia 副長官は、「今回の逮捕は、画面の後ろに隠れていればサイバー犯罪を犯しても処罰されないと思っている者たちへの警告となるはずです。FBI は、あなたがどこにいようとも見つけ出し、責任を追及します」と述べました。CTU™ のリサーチャーは、法執行機関の動きと、サイバー犯罪の状況に与える影響を引き続き監視していきます。
