2023年5月29日、ハッカーフォーラム「RaidForums」のユーザー約47万9,000人分の情報を含んだデータベースが、新たに立ち上げられたフォーラム「Exposed」に流出しました。RaidForumsは、不正アクセスの被害者となった組織から窃取されたデータを売買・公開・ホスティングする場として知られていましたが、法執行機関により押収され、閉鎖されました。その後、同フォーラムのユーザーは新たに立ち上げられたフォーラム「Breached(BreachForums)」に活動の場を移しましたが、そのBreachedも創設者であった人物の逮捕を受け、先日法執行機関により押収されることとなりました。
そして2023年5月、Breachedの後継になりうる場としてExposedが立ち上げられました。ただしExposedの所有者「Impotent」は、RaidForumsやBreachedの所有者とは関連の無い人物であると思われます。このImpotentこそがRaidForumsのデータベースを公開した人物でしたが、Impotentはこのデータベースの出所は不明であると語っており、他のサイバー犯罪コミュニティで活動しているユーザーも、RaidForumsの閉鎖後は法執行機関だけが同フォーラムのデータにアクセスできたのであれば、どのような経緯でデータベースが流出したのかと疑問を持っています。またその一方で、ExposedはRaidForumsのデータベースをマーケティングツールとして活用しており、新規ユーザーになってデータベースをダウンロードするよう呼びかけるバナーを掲げています(注:50ユーロを支払って上位ユーザーになると、同データベースをダウンロードするリンクが提供されます)。実際、このデータベースがExposedに流出して2日後には、同フォーラムのユーザー数が流出前日(5月28日)時点の約900人から3,200人超と3倍強にまで増加しました。
今回のレポートでは、我々がこのデータベースをインデックス化し、調査して得られた考察を詳述します。このデータベースはKELAのプラットフォームでもご確認いただけます(こちらのクエリをご利用ください)。今回流出したデータには、2015年3月から2020年9月にかけてRaidForumsでユーザー登録を行ったユーザーの電子メールアドレス、フォーラムで使用していたユーザー名、インスタントメッセージサービスで使用しているユーザー名、使用言語、IPアドレス、生年月日、フォーラムでの活動履歴、ログインキー、ソルトでハッシュ化したパスワードなどが含まれていました。
また、このデータベースを公開したImpotentの説明に記載されていたとおり、一部のユーザーに関する情報はデータベースから削除されていました。