世界最大級の闇取引市場、国際捜査で摘発 創設者とされる男は21歳 その正体は：この頃、セキュリティ界隈で

[鈴木聖子，ITmedia]

　世界中から流出した個人情報などのデータが大量に売買されていた大手闇取引市場「RaidForums」が、米欧の連携捜査で摘発され、創設者とされる21歳の男が逮捕された。RaidForumsは50万人以上が利用する英語圏で最大級の闇市場だったといい、捜査当局は乗っ取りやフィッシングを仕掛けた末に、サイトを閉鎖に追い込んだ。

　米司法省や欧州刑事警察機構の発表によると、RaidForumsを管理していたポルトガル国籍のディエゴ・サントス・コエーリョ容疑者（21）は1月31日に英国で逮捕され、同サイトに使われていたドメインは捜査当局が差し押さえたという。

米国司法省の公式Webサイトが掲載した記事

欧州刑事警察機構の公式Webサイトが掲載した記事

　RaidForumsは2016年ごろから22年2月にかけ、各国の企業や大学、政府機関などから盗まれたり流出したりした情報を売買する場として使われていた。銀行口座情報やクレジットカード情報、パスワードとユーザー名を組み合わせたログイン認証情報などの売買に加え、最近ではランサムウェア集団が被害組織を脅迫する目的で盗んだデータを暴露する場としても頻繁に利用。差し押さえられた時点で、盗まれたデータベースの記録100億件以上が売りに出されていたという。

　21年8月にT-Mobileの顧客情報が大量に流出した事件で、流出した情報が売りに出されたのもRaidForumsだったと伝えられている。

（関連記事：米通信キャリア大手T-Mobile、サイバー攻撃で約4860万人の個人情報漏えい）

　米ニュースサイトのMotherboardによると、RaidForumsで2021年8月11日ごろ、「SubVirt」と名乗る人物が、米国の大手通信企業から流出したばかりとするデータを売りに出した。

Motherboardの記事

　被害企業はこのデータが犯罪者の手に渡るのを防ごうと、第三者を雇い、RaidForums管理者の仲介サービスを介してデータの買い取りを持ちかけたという。第三者はSubVirtがデータのコピーを消去することを条件に、ビットコインで計20万ドル（約2500万円）相当を支払い、全データを購入した。その目的は、盗まれたデータを独占的に入手して、さらなる流出を防ぐことにあった。

　ところがこの取引が成立した後も、SubVirtの共謀者がデータの販売を続けたらしく、流出を防ごうとした計画は失敗に終わったという。

　Motherboardは、第三者を介して盗まれたデータを買い取ろうとしたこの大手通信企業はT-Mobileだったと伝えている。

捜査当局が仕掛けたフィッシング？

　コエーリョ容疑者が同フォーラムを創設したのは2015年。つまり14歳のときに立ち上げたことになる。当初は特定の相手に大量のコンテンツを送り付ける嫌がらせ行為や、虚偽通報で警官隊を出動させるような悪質ないたずら行為を組織したり、そそのかしたりする場として利用されていた。

　RaidForumsが闇取引市場として定着すると、コエーリョ容疑者はメンバーを格付けして最高位に「God」の地位を与えたり、特権サービスを利用できる「クレジット」を販売したり、売買の仲介役を果たしたりするようになったという。

　しかし22年に入ってコエーリョ容疑者が逮捕されると、RaidForumsは捜査当局がひそかに乗っ取って、運営を続けていたらしい。

　ITセキュリティ系ニュースサイトのBleeping Computerによれば、2月ごろからRaidForumsのメンバーが同サイトに何度ログインしようとしても、繰り返しログインページが表示されるようになった。このため研究者やメンバーの間では、同サイトが差し押さえられたらしいとのうわさが広がり、何度も表示されるログインページについては、捜査当局がユーザー情報を集める目的で仕掛けたフィッシングとの見方が浮上していたという。

Bleeping Computerの記事

　今回の捜査や摘発には、米連邦捜査局（FBI）や欧州刑事警察機構の他、英国やスウェーデン、ルーマニア、ポルトガルなどの警察が協力した。

　サイバー犯罪に利用される闇取引市場はロシア語のフォーラムが多数を占める中、RaidForumsは英語圏のフォーラムとして突出した存在だった。ちなみに、ロシア軍のウクライナ侵攻を受けてこうしたフォーラムや犯罪集団が親ロシア派と親ウクライナ派に分かれると、RaidForumsは、ロシアとつながりのあるメンバーを締め出すと発表していたという。