2025年7月22日、ウクライナ当局は、ダークウェブのフォーラム「XSS」を運営していたとみられる人物を逮捕しました。XSSは、ロシア語で運営されている主要なサイバー犯罪フォーラムの一つです。この逮捕は、パリ検察庁が主導し、フランス警察やユーロポール、ウクライナの法執行機関の支援を受けて、数年がかりで行われた捜査の成果でした。今回のブログでは、KELAのサイバー・インテリジェンス・センター（CIC）が、XSSの歴史や活動とともに、今回の逮捕に対するXSSユーザーの反応について解説します。

XSS：サイバー犯罪活動の中核拠点

XSS（旧名称：DaMaGeLaB）は、ロシア語話者が集うアンダーグラウンド・コミュニティの中で最も古いフォーラムの1つです（ただし、同フォーラムはクリアウェブとTorの両方で運営されています）。 同フォーラムを運営しているのはロシア語話者であり、フォーラム内のやり取りの大半もロシア語で行われていますが、英語話者のユーザーも活動しています。なお、CIS諸国（旧ソ連圏）の組織や個人を攻撃対象とする行為は、フォーラムの規則により厳格に禁止されています。

現在、XSSには約4万8,750人の登録ユーザーがおり、スレッド数は11万件を超えています。またあらゆる類のハッキング関連情報を扱っており、データやアクセス、マルウェア、ツールの販売やリークなどが行われています。ただし、ランサムウェア・アズ・ア・サービス（RaaS）やランサムウェア関連の広告については、2021年にColonial Pipeline社がランサムウェア攻撃を受けて以降、XSSでは掲載を禁止されています。

最近同フォーラムで確認された「商品」の例としては、以下が挙げられます。

このような違法商品の売買を円滑に進めるため、XSSでは販売者や購入者の信頼度を判断する上で参考となる評価システムを取り入れています。また、ユーザーはXSSが指定したエスクローサービスを利用することで、詐欺を回避しつつ、取引を安全に完了できる仕組みになっています。また、販売者も預かり金を入れることで、信頼性や評価を引き上げることができます。

XSSは、現在も非常に活発に活動しており、1日に数百件の投稿が掲載されています。同フォーラムの運営・管理は、管理者1人と複数のモデレーターが行っていました。



2018年にDaMaGeLabがXSSに名称を変更して以降、XSSとExploit（ロシア語話者の集う 有名フォーラム）に掲載された投稿件数の比較 



捜査の経緯と逮捕

2021年7月、フランス当局は、XSSが所有していたJabberサーバー「thesecure.biz」の監視を開始しました。そして同サーバーの通信を傍受した結果、少なくとも700万ユーロもの収益を生み出したランサムウェアキャンペーンをはじめ、様々な違法行為の実態が明らかとなりました。そして2021年11月、フランスの検察当は自動データ処理システムへの不正アクセス、組織的な恐喝行為、犯罪の共謀に関する容疑について正式に司法捜査を開始しました。

そして2025年7月22日、XSSにおけるサイバー犯罪活動で中心的な役割を果たし、かつ同フォーラムで紛争が発生した際には信頼された仲裁者を務め、取引の安全性を担保していたとされる人物がキーウで逮捕されました（この容疑者の身元は公表されておりません）。

XSSの管理者とは

XSSの所有者兼管理者を務めていたアクターは、「admin」というハンドルネームを使用していました。同アクターはXSSで非常に活発に活動しており、主にフォーラム内の「裁判所」セクションに裁判官として参加していましたが、一般的な議論や、フォーラムの改善に関するスレッドなどにも参加していました。 興味深い点として、XSSで管理者を務めていたこのアクター「admin」はウクライナに拠点を置いていましたが、フォーラムの投稿内でウクライナについて言及したのはほんの数回に留まっていました。2021年にadminがウクライナに言及し、XSSでウクライナ関連のデータを扱うことが禁止されている旨を明言した際、adminは、「ひどい政治のせいで、ウクライナの存在感が薄れてきて、我々にとってあまり友好的とはいえない存在になった。正直言って、ウクライナが今もCISの一員なのかさえわからない」と、あたかも自身がロシアに拠点を置いているかのように説明していました。

この発言が、自らの正体を隠ぺいするOPSEC（運用セキュリティ）目的の発言であったのか、それとも、そもそもウクライナで逮捕された人物が「admin」でなかったのかについては、明らかになっておりません。

通常、XSSでは政治的な議論は歓迎されておりませんでした。

XSSの管理者が、ロシアによるウクライナ侵攻直後に掲載した声明 （上図はKELAのプラットフォームで自動翻訳した投稿） 

adminの逮捕に対するサイバー犯罪者の反応

KELAが観察したところ、XSSの管理者とされる人物が逮捕されたことを受けて、XSSはもとより、ExploitやDreadをはじめとする様々なアンダーグラウンドのフォーラムでは噂や憶測が飛び交っていました。

ユーザーの中には、XSSでadmin逮捕に関するスレッドが立ち上げられたものの、投稿が掲載されてから5分以内に削除されたことに言及し、WWHなど過去に発生したフォーラムのテイクダウン事例との類似点を指摘する者もいました。

また別のユーザーは、最近Tetherの仲裁資金が凍結されたことと、この逮捕劇には何らかの関連があり、かつウクライナの人物が関与していると疑っていました。さらに、XSSのドメインが押収されたと主張する者もおり、特定の地域ではXSSのクリアウェブ版ドメインにアクセスすると、ユーロポールのテイクダウン通知が表示されるという報告もありました（またKELAがフランスのIPからXSSのクリアウェブ版ドメインにアクセスしたところ、実際にユーロポールのテイクダウン通知が表示されることが確認されました）。

別の投稿では、2025年7月22日以降adminがオンラインになっていないことが指摘されており、さらなる憶測を呼んでいます。

XSSのクリアウェブドメインに押収通知が表示されている様子 

逮捕の影響と進行中の調査

今回の逮捕劇は、サイバー犯罪対策における国際的な取り組みの中で、重要な節目となっています。このオペレーションは、国境を越えたサイバー犯罪活動に対処するうえで、国際的な連携がますます重要になっていることを浮き彫りにしています。

捜査は現在も続いており、法執行機関はXSSの運営に関与していた他の人物の特定に尽力するとともに、類似のプラットフォームの出現を阻止するべく取り組んでいるものと思われます。今回の事例は、サイバー脅威が持続的かつ進化し続ける性質を持っていること、そして各国の当局が継続的に警戒にあたり、互いに協力しあうことが不可欠であることを我々に喚起しています。

XSSが閉鎖されたことにより、一部のサイバー犯罪活動に混乱が生じる可能性がありますが、それが新たなフォーラムの出現につながるのか、それとも既存のフォーラムがXSSのユーザーを吸収し、活動の場を提供するのかは明らかになっておりません。しかし、2025年4月にBreachForumsの管理者が逮捕された際、同フォーラムが押収されたことによって生まれた隙間を、 DarkForums が速やかに埋めている様子が観察されました。

KELAは、今回の逮捕劇がもたらす広範な影響について、今後も綿密な監視を行い、KELAプラットフォームを通じてお客様に最新情報をご提供してまいります。特定の脅威アクターやアンダーグラウンド・フォーラムについての詳細な分析結果に関心をお持ちの場合は、KELAまでお気軽にご連絡ください。