誕生から6カ月、BreachedはRaidForumsの後継となりえたのか?

脅威インテリジェンスアナリスト ヤエル キション

人気を博したサイバー犯罪フォーラム「RaidForums」が差し押さえの末に閉鎖されたことを受け、2022年3月14日、英語話者の集う新たなフォーラム「Breached(別名BreachForums)」が誕生しました。脅威アクター「pompompurin」がRaidForumsの代わりとして立ち上げたこのフォーラムは、RaidForumsと同じデザインで構成されており、大規模なデータベースのリーク情報やログイン資格情報、アダルトコンテンツ、ハッキングツールなどを提供する場となっています。

ここで、RaidForumsについて振り返ってみましょう。まずRaidForumsのドメインが米国当局によって差し押えられ、さらにその後の2022年1月下旬には、同フォーラムに関与していた有名な脅威アクター3人が逮捕されました。この時逮捕されたのは、同フォーラムの創設者であり管理者でもあった「Omnipotent」と、同じく管理者を務めていた「Jaw」と「moot」です。米国司法省は、Diogo Santos Coelho(別名Omnipotent)と名乗るポルトガル国籍の人物がRaidForumsの所有者であるとして、このCoelho氏を共謀、アクセス・デバイス詐欺、加重個人情報窃盗の罪で起訴しました。起訴状では、Coelho氏及び他2名の管理者(Jaw及びmoot)が、RaidForumsのソフトウエアとコンピューターインフラストラクチャを設計・管理してデータベース取引を助長していたとされています。

そしてこのRaidForumsが閉鎖されてわずか数週間後、その後継となる新たなフォーラムBreachedが誕生しました。Breachedは、立ち上げからわずか6カ月で新たなデータベース取引プラットフォームとしての地位を確立し、今や8万2,000人を超える登録ユーザーを擁する規模に成長しました。KELAは、本当にBreachedがRaidForumsの後継となり、最も人気の高いデータベース取引サイトになったのかを調査するとともに、同フォーラムにおけるトップアクターの活動や、そこに見られるトレンドについて分析しました。


RaidForumsとのギャップを速やかに解消

Breachedは、RaidForumsで扱われていたコンテンツも掲載しており、またその区分についてもRaidForumsと同じカテゴリ(クラッキング、リーク、マーケットプレイス、チュートリアル、テクノロジー)を採用しています。現在Breachedの管理者を務めているpompompurinは以前、同フォーラムを立ち上げた動機について、「RaidForumsのデータベースを擁するフォーラムを作成するためだ」と語っており、「RaidForumsの公式セクションにあったデータベースは、全て我々のCDN(コンテンツデリバリーネットワーク)に置いてある」とも発言していました。なお、現在Breachedで最も人気があるサブカテゴリは「データベース」であり、このサブカテゴリには様々なデータ侵害で窃取されたデータダンプが掲載されています(そしてここで扱われるデータダンプには、多数の資格情報が含まれています)。


 Breachedの「リーク」セクション


Breachedが立ち上げられた当初は、大規模なデータリーク・コレクションを作成して新規ユーザーを同フォーラムに引き付けるという取り組みが行われていました。この取り組みは、過去にRaidForumsでリークされていた古いダンプを流用するという方法で実行されており、管理者のpompompurinが古いダンプを再公開したり、Breachedのコミュニティユーザーからのデータベースに関するリクエストに対応していました。

またBreachedでは、ユーザーの積極的な活動参加を奨励しており、RaidForumsと同じく、ユーザーの貢献度に応じてクレジットが付与されるシステムを導入していました。このクレジットについては購入することも可能であり、「ロック」されたコンテンツ(一般的にはデータベース)を入手する際に所定のクレジットが必要となる場合には、購入したクレジットで支払うこともできる仕組みとなっています。しかしBreachedの誕生当初は、ユーザーがクレジットを購入することは許されておらず、同フォーラムで「ロック」されているコンテンツを入手したい場合、その唯一の手段は、同じカテゴリに新たなコンテンツを投稿してクレジットを獲得するというものでした。そしてBreachedがこの方針を採用していたその目的は、フォーラムユーザーの参画を促し、大規模なデータベース取引の場を実現することにありました。しかし2022年3月29日、pompompurinは、投稿によるクレジットを持たない新規ユーザーでもコンテンツのロックを解除できるよう、クレジットを購入できるセクションを新たに追加しました。

その後、これら一連の取り組みは成功を収めました。pompompurinはBreachedの立ち上げからわずか2週間で、各ユーザーが公開したデータベース100件超を集め、フォーラムの「公式」セクションで掲載するまでにいたったのです。なお、「公式」セクションで掲載されるデータベースはフォーラムのサーバー上に保存されるため、一般的な共有サーバー上で保存されているファイルのように何らかのタイミングで削除されるということがなく、半永久的にアクセスすることが可能となります。つまり「公式」セクションに移動されたファイルは、それだけの価値があると認められたデータベースであるということです。過去にRaidForumsでリークされ、Breachedに再投稿されたデータの1つとしては、ソーシャルメディア系小説サイト「Wattpad」のデータベースが挙げられます。このデータベースは、元々は2020年7月にRaidForumsで公開されていたものですが、2022年3月17日、某脅威アクターによってBreachedへ再投稿され、ユーザー2億7,000万人の個人情報が再び公開される事態となりました。


RaidForums最大のリークデータの1つがBreachedで再び公開されている投稿


またBreachedでは、RaidForumsに投稿されていたものとは別の類のデータベースも投稿されています。我々は、ロシア・ウクライナ間の戦争がサイバー犯罪社会の情勢にも影響を及ぼしていることを認識していましたが、戦争の影響は誕生して間もないBreachedにも及んでいました。Breachedは英語で運営されているフォーラムであるにもかかわらず、今やロシア企業やウクライナ企業のデータを含んだダンプも登場するようになっており、今回のサイバー戦争が同フォーラムのデータベース取引の進化を後押ししている状況を映し出しています。例えば2022年5月6日には、某脅威アクターがロシアの医療研究所のデータベースを公開しており、そこには3,100万件の資格情報(氏名、電子メールアドレス、住所、電話番号など)が含まれていました。

2022年3月から8月までの間にBreachedに登録したメンバーの数は8万2,000人を超えており、そのうちの39%は既に同フォーラムで何らかのコンテンツかメッセージを投稿しています。また同フォーラムの投稿件数は月平均で約3万4,000件となっています(参考情報:2021年におけるRaidForumsの月平均投稿件数は5万5,000件)。2022年7月にはBreachedの登録ユーザー数が急増しており、2022年6月24日には2万人超であった登録ユーザー数が、7月末にはその2倍を超える約5万2,000人となっていました。



また、Breachedのユーザー数が増加するとともに投稿件数も増加しており(7月単月の投稿件数は約6万5,000件)、同フォーラムがRaidFromsの後継として機能していることがうかがえます。



Breachedのユーザー数や投稿件数が増加した要因としては、ユーザーの注目や返信を多数集める事例が複数発生したことが挙げられます(中国が対台湾攻撃を計画していることを示すビデオのリークや、開発者用ストリーミングデータプラットフォーム「RedPanda」へのハッキング方法を解説した記事の公開など)。

その他に大きな注目を集めたリーク事件としては、上海国家警察(SHGA)のデータリーク事件が挙げられます。このデータベースは2022年6月28日、ロシア語話者及び中国語話者の集うサイバー犯罪フォーラム「RAMP」で、「ChinaDan」と名乗るアクターによって売りに出されました。しかし同日、ロシア語話者の集うフォーラム「Exploit」で、「AccessBroker」と名乗るアクターが同じデータベースを売りに出していました。

このAccessBrokerの投稿では、完全なデータベースの代金として10 BTC(当時の価値で約20万米ドル)を要求していましたが、その後の2022年6月30日、今度はChinaDanがAccessBrokerと同じ投稿をBreachedに掲載しました。なお、AccessBrokerとChinaDanは複数のフォーラムで同じJabberを使用していたことから、この2人が実際には同一人物であったことが判明しています。同データベースは、その後すぐにBreachedから削除されたにもかかわらずフォーラムユーザーの多大な関心を集め、その注目と人気の高さがゆえに、同データベースを求める中国人ユーザーに向けてBreachedの管理者が歓迎のメッセージを書く事態となりました。


ChinaDanが上海国家警察のデータベースをリークした投稿(Breached)


RaidForumsの再現

Breachedで再現されているのは、RaidForumsのデザインやリークデータだけではありません。RaidForumsでトッププレイヤーとして活動していたアクターの何人かは、Breachedを新たな活動の場として採用したようです。RaidForumsで活発に活動していたアクター上位10人(投稿メッセージの件数に基づく)のうち4人は、RaidForumsで使用していたハンドル名(または類似のハンドル名)を使ってBreachedで活動を続けていました。その他の2人はロシア語話者が集う別のサイバー犯罪フォーラム「Rutor」に活動の場を移しており、残る4人についてはアンダーグラウンドのフォーラムでその存在を確認することはできませんでした。

ここで、RaidForumsとBreachedの両方で活動が確認されているアクターについて見てみましょう。RaidForumsで最も活発に活動していた脅威アクター「troubled」は、Breachedでも活動していることが確認されています。Breachedでの活動当初、同アクターは「Rainforest Shmainforest」というハンドル名を使用していましたが、その後RaidForumsで使用していたハンドル名(troubled)に近い「troubled2」へと変更しました。同アクターの主な活動としてはデータベースの購入が挙げられますが、ユーザーの投稿に対する返信なども行っています。ただし現在の活動量は、RaidForumsの時よりも大幅に低下しているようです。


かつてtroubledとして活動していたアクターが、
Breachedで新規アカウントを作成して掲載した投稿


その他のアクターも見てみましょう。かつてRaidForumsで活動していた脅威アクター「thekilob」は、Breachedでも同じハンドル名を使って活動し、ユーザーコミュニティの間では名の知れた人物となっていたようです。またthekilobは、この6カ月の間にBreachedで最も活発に活動しているアクターとしての地位を確立し、同アクターに関連している投稿の件数は3,289件(Breached内)に達していました。これは、同アクターがRaidForumsで18カ月かけて公開した投稿件数3,451件に近い数字です。しかし同アクターは、一部のメンバーに対して攻撃的な態度をとったり、他のユーザーにクレジットを販売したりしたとして、2022年8月19日以降Breachedを出入り禁止となっています。


脅威アクターthekilobは、Breachedで他ユーザーに対して攻撃的なコメントを返すようになり、最終的に同フォーラムで出入り禁止となった。


Breachedのトップアクターには見覚えのある ハンドル名も登場

Breachedで最も活発なアクターは誰であるのか、そしてRaidForumsで名を馳せたアクターがBreachedでも高い貢献度を発揮しているのかについては、非常に興味深いところです。我々は、Breachedでトップ10入りしたアクター全員が、RaidFormsにも登録していたことを確認しました。まさにこれは、RaidForumsで活動していたアクターらをBreachedが取り込み、後継の場になったことを示す兆候であると言えるでしょう。なお、Breachedでトップ10入りしたアクターのうち8人は、RaidForumsで活動していた時のハンドル名をそのまま使用しており、残る2人はわずかに変更を加えたハンドル名を使用しています。例えば、RaidForumsで「Darka」と名乗っていたアクターは、Breachedでは「xDARKAx」として活動しています。

Breachedでは、前述のthekilob以外にも馴染みのあるアクター数人の存在が確認されています。Breachedで2番目に活発なアクター「Dredgen Sun」は、同フォーラムの立ち上げ当初から活動しており、過去にはRaidForumsでも活動していました。同アクターについては、スレッドにコメントを返信することが主な活動であると思われ、またそれらスレッドやコメントの内容にはハッキング関連以外のものも含まれているようです。同アクターについては、2022年3月18日に、RaidForumsのユーザーがBreachedへ移行している状況を指して、「家(Breached)に戻ってきてくれて嬉しいよ」と投稿していたことが確認されています。なお、RaidForumsで2番目に活発に活動していたアクターは「Sunsingerlock」と名乗っていましたが、我々の調査では、Dredgen SunがRaidForumsで度々ハンドル名を変更し、「Sunsingerlock」や「Sunsinger-Adept」と名乗って活動していたことが明らかとなっています。つまりDredgen Sunこそが、RaidForumsで2番目に活発に活動していたアクターであるということです。2022年5月18日には、Dredgen Sunが「ちょこちょこ名前を変えるのもいいもんだ」と投稿していたことも確認されています。


Dredgen Sunは、RaidForumsでの活動時とは異なるハンドル名を使って
Breachedで活動している。


脅威アクター「Minori」もBreachedで活発に活動しているユーザーの1人であり、短い期間ではあるもののBreachedでモデレーターを務めていたこともありました。同アクターは、ExploitやXSSをはじめとするロシア語話者用フォーラムでも活動しており、主にデータベースを販売しています。

一方、Breachedの管理者であるpompompurinは、RaidForums時代に数十件ものデータベースを公開しており、現在運営しているBreachedでは他のアクターが過去に提供したデータダンプを再投稿する一方で、独自のリークデータも引き続き公開しています。また最近の活動では、メキシコに拠点を置く銀行のデータベースを公開しており、そのリークによる影響を受ける銀行顧客の数は1,000万人に上るものと思われます。このデータベースについては、pompompurinは他のアクターから購入したものであると説明しており、また購入後には某サイバーセキュリティ企業からデータベースの侵害に関する停止通告書を受け取ったものの、その後同データベースを公開するにいたったと発言していました。

「cod」も、以前RaidForumsで活動していたアクターですが、同フォーラムでの活動量が比較的少なかったのに対し、Breachedでは非常に積極的に活動しているようです。同アクターについては、2022年8月18日、「基本的にBreachedは、RF(RaidForums)の後継だ。だがBreachedは、RFのメンバー数には及んでいない」と発言していたことが確認されています。同アクターはデータベースの購入に関心を持っており、機密データ(データべースやソースコード、アクセスなど)を売り出す投稿に多数コメントを返しています。


某アクターが、codは経験豊富なハッカーであると主張している投稿


とはいえ、全てのアクターがBreachedに度々投稿を掲載しているわけではありません。独占的なデータの窃取・リークといった「重要」な活動を主軸にしているアクターもおり、「desorden」もそのうちの1人です。同アクターは2022年6月からBreachedで活動しており、主にアジアの企業から窃取したとされるデータベースを販売しています。2021年には、複数のアジア企業で世界中の顧客数百万人に影響が及ぶ大規模なデータ侵害が発生しましたが、それらのデータ侵害にもdesordenが関与していました。そのうちの1件は台湾のテクノロジー企業「Acer」社で発生したデータ侵害であり、2021年10月にdesordenが「Acer社から60 GBのデータを窃取した」と主張していたことが確認されています。


主にアジア企業を狙うハッカーdesordenが活動を再開


「LeakBase」も、RaidForumsで活動していたアクターの1人です。同アクターは、あらゆる種類のデータリークを検索できるウェブサイト「LeakBase.cc」を運営しており、2017年にはRaidForumsでLeakBase.ccについて宣伝していました。現在、同アクターは「Chucky」や「Chuckies」、「Sqlrip」など複数のハンドル名を使い、Breachedでデータを公開しています(ただしこれらのユーザー名は、LeakBaseの仲間であるアクターが使用しているという可能性も考えられます)。また同アクターは、世界中の企業や店舗が保有している最新のSQLデータベース数百件を定期的に公開しており、最近では様々なデータベースのコレクション(集合品)を定期公開するといった活動も始めています。


LeakBaseがデータベース50件を集めたコレクションを公開している投稿(Breached)


ランサムウエアオペレーターも歓迎

Breachedでは、ランサムウエアグループの活動も確認されています。例えば、恐喝グループ「Everest」は自らの所有するデータをBreachedでもリークしており、また過去には、「Babuk」のランサムウエアアフィリエイトプログラムに参加していると思われるアクターが、同フォーラムで販売されているネットワークアクセスに関心を持っていた様子も観察されています(このアクターが投稿に掲載していた連絡先情報とBabukが過去に使用していた連絡先情報が同一であることから、Babukとつながりがあると考えられます)。また我々がこれらの情報を特定する過程では、複数の初期アクセス・ブローカー(IAB)が、不正アクセス先企業のネットワークアクセスを販売することに関心を持っていることが確認されました。

さらに我々は、「SolidBit」と名乗るアクターが初期アクセスの入手やネットワーク内の水平移動、侵入テストツール(「PsExec」や「Mimikatz」、「Metasploit」)の使用について経験のあるランサムウエアアフィリエイトを探していることを確認しました。確認された投稿の中でSolidBitは、自らのチームがランサムウエアを展開しており、自身(SolidBit)はSolidBitバージョン2.0に取り組んでいると説明していました。また2022年6月29日には、フォーラム「Dread」で自らのランサムウエア・アズ・ア・サービス(RaaS)プログラムを発表し、アフィリエイトに対して身代金の80%を支払うことを約束していました。なお、このSolidBitの身代金交渉ポータルには、LockBitのロゴやチャットを模倣したデザインが採用されています。


SolidBitが自らのアフィリエイトプログラムを紹介している投稿(Breached)


Breachedでは、ランサムウエアビルダーの販売者やランサムウエアの開発者も活動しています。2022年4月22日には、某アクターがランサムウエア「Chaos(Yashma)」の新バージョンを公開していました。このアクターはフォーラムXSSでも活動しており、これまでには「chaos_exe」とのハンドル名を使ってランサムウエアChaosのアップデートバージョンを公開していたことが確認されています。

また2022年7月5日には、「Cerebrate」と名乗るアクターが自らをランサムエア「Redeemer(Windows OS用)」の開発者と主張する投稿を掲載していました。この投稿の中でCerebrateは、自らがフォーラム「Dread」でWindows OS用Redeemerを1年にわたり運営していること、またRedeemerのユーザーがランサムウエアを展開して金銭を稼いでいる実績があることを記載していました。そしてその説明によると、同アクターはRedeemerユーザーが被害者(組織)から受け取った身代金合計額の20%を代金として受け取り、その引き換えに復号キーを提供するということでした。Breachedユーザーの間では、このようなランサムウエアビルダーについても需要があります。


ランサムウエアRedeemerの開発者であるCerebrateが
自らのマルウエアを公開している投稿


さらに我々は、2022年9月6日に、脅威アクター「BN28」が新たなランサムウエア・アズ・ア・サービス(RaaS)オペレーション「Garyk」を発表したことを確認しました。BN28の説明によると、彼らのランサムウエアにはRSA 2048ビットのアルゴリズムを採用しており、高速でファイルを暗号化できるということでした。Garykに参加するアフィリエイトはこのランサムウエアを使って企業を攻撃し、標的となった企業が身代金を支払うと、BN28はその身代金の20%と引き換えに非公開の復号キーを提供します。つまりGarykのアフィリエイトは、身代金の80%を手にすることができるということです。


結論:RaidFormsを超えるフォーラムへと進化

Breachedは、もはやRaidForumsの後継という立場にとどまらず、短期間の間に有望なデータリークマーケットとしての地位を確立していました。Breachedのユーザー数や毎月の投稿数が増加の一途をたどっており、かつてRaidForumsで活動していた有名なアクターもBreachedを新たな活動の場に選んでいるという状況は、pompompurinの人気と影響力の高さを表していると言えるでしょう。

さらにBreachedでは、ランサムウエアオペレーターらが投稿することも許可されていると思われ、その結果、様々なサイバー犯罪者が攻撃チャンスを拡大できる場として機能しつつあると考えられます。KELAでは、Breachedが今後数カ月にわたって引き続き人気を博し、RaidForumsよりも大規模で高度なフォーラムになる可能性があるとみています。