FBIとEuropolがLeakBaseを押収——証拠の奪回と“アカウント乗っ取り経済”への衝撃

今日の深掘りポイント

• フォーラムの中核データ（ユーザーアカウント、投稿、決済情報、プライベートメッセージ、IPログ）が押収・保全され、取引の鎖が可視化されるフェーズに入った可能性が高いです。短期的には買い手・売り手の動揺で市場が揺れ、長期的には逮捕・摘発が連鎖しやすくなります。
• 直近は「代替流通チャネル」への移行（Telegram、Tox、招待制小規模掲示板、個別ブローカー）により、可観測性が低下します。CTIの収集・分析は“面で覆う”従来型から“点と線で追う”アプローチに重心を移すべきです。
• 組織目線での一次リスクはアカウント乗っ取り（ATO）と二次不正（BEC・決済詐欺）。既知流出×使い回しの“有効認証情報”から侵入される想定で、強制MFA・条件付きアクセス・レガシープロトコル遮断を優先度高で進めるべきです。
• 押収データが法執行により解析される過程で、被害者通知や追加の照会が段階的に発生し得ます。法務・広報・SOCの合同プレイブックを今のうちに整備し、最初のタッチポイントから封じ込めまでを“時間で管理”できる状態にしておくと、組織の痛みは最小化できます。
• 本件は信頼性・即時性が高いタイプの案件です。一方で“この一撃で犯罪市場が終わる”ことはなく、むしろ分散・秘匿化で観測コストが上がることを前提に、観測能力と耐性の両輪で臨むべきです。

はじめに

犯罪者の“取引所”が止まると、被害が止まる——多くの人がそう願います。しかし現実はもう少し複雑で、止まるのは「見えていた流通」であって、価値と意図が強ければ水は必ず別の川筋を探します。今回のLeakBase押収は、取引の記憶（ログ）までが保全された点で、単なる看板の差し替えを超える意味合いを持ちます。日本のCISOやSOCから見れば、いま必要なのは“歓喜”ではなく“準備”。この短い“市場の空白期”を、防御の歯車を一段上げるために活用できるかが勝負どころです。

深掘り詳細

事実関係（公開情報で確認できる範囲）

• FBIとEuropolが、盗難データとサイバー犯罪ツールの取引で知られる大型フォーラム「LeakBase」を押収。
• 2025年12月時点でメンバー14.2万人超、メッセージ21.5万件超。
• 押収コンテンツにはユーザーアカウント、投稿、決済情報、プライベートメッセージ、IPログが含まれ、証拠保全目的で保存。
• 2026年3月3〜4日にかけ、世界中で約100件の執行措置。
• フォーラムではハッキング済みデータベースやアカウント情報（特にインフォスティーラー由来）が取引され、ATOや詐欺に直結し得る品揃えだったと報じられている、というのが現時点の一次情報に近い外部報道の骨子です。
  出典（報道）：The Hacker News

注：本稿執筆時点で当誌が直接確認できる一次リリースは限られています。今後、法執行機関の公式発表が出そろい次第、数字や関与機関の詳細をアップデートします。

何が変わるか（編集部インサイト）

• 取引の「証跡」が押さえられたことの意味
  • 投稿・PM・IPログ・決済情報が揃うと、販売者—仲介—買い手の“鎖”が可視化されます。単発のアカウント凍結では到達しづらい、地理・役割・金の流れの三点測量が可能になります。これは数カ月〜1年スパンでの芋づる式検挙・家宅捜索・協力者化（翻意）に繋がりやすく、抑止の持続力が見込めます。
• “見えていた市場”の縮小と“見えにくい市場”の拡散
  • 直近はTelegramや招待制の小規模コミュニティ、個別ブローカーへの分散が進み、可観測性は低下します。結果、CTIは“横断クローリングで網羅”から“特定コミュニティの信頼関係を耕す”方向への再投資が要ります。
• 防御側にとっての「黄金の数週間」
  • 市場再編の端境期は、攻撃者も仕入・販路の再構築に時間を割きます。この間に、使い回し防止／強制MFA／条件付きアクセス／レガシープロトコル遮断／監査ログ保全の“5点セット”を完了できる組織ほど、次の波を受け流せます。

脅威シナリオと影響

以下は、今回の押収後に想定されるシナリオの仮説です。MITRE ATT&CKの観点も併記します。

• シナリオ1：在庫（盗難クレデンシャル）の“投げ売り”と短期ATO急増

  • 仮説：販売者が足抜けや逃避資金確保のため、既存在庫を別チャネルで廉価放出。買い手は短期回転を狙い、短期間に集中攻撃。
  • 関連TTP：
    • Credential Stuffing（T1110.004）
    • Valid Accounts（T1078）
    • Steal Web Session Cookie（T1539）
    • Account Manipulation（T1098）

• シナリオ2：インフォスティーラー連動攻撃の継続・深化

  • 仮説：フォーラムは止まっても、調達源（RAT・インフォスティーラーのボットネット）は稼働継続。新たな販路に合流し、供給は数週間で回復。
  • 関連TTP：
    • Phishing/Smishing/Malvertisingによる配布（T1566, T1204）
    • Credentials from Password Stores: Web Browsers（T1555.003）
    • Obfuscated/Compressed Files & Information（T1027）

• シナリオ3：BEC・決済詐欺への“二次利用”が加速

  • 仮説：メール・SaaSの初期侵入後、転送ルール設定やサプライヤ成りすましで金銭詐取に移行。財務・購買のフローが狙われる。
  • 関連TTP：
    • Email Collection（T1114）
    • Account Manipulation（T1098）
    • Valid Accounts（T1078）

• シナリオ4：法執行による後続摘発と、攻撃者側のOPSEC硬化

  • 仮説：取引の鎖から追加の捜査が進行。一方で攻撃者はPGP徹底、Onion限定、仲介の多段化などで不可視化を図る。観測コストは上昇。
  • 影響：CTIの“取得難度”が上がる一方で、特定個人・グループに対する要素分解（ペルソナ、金流、交友）による精密対処がより有効に。

全体として“信頼性が高く、即応が必要で、かつポジティブなインパクトが見込める”タイプのイベントです。ただし、攻撃は他チャネルへ偏移するため、検知ギャップが生じやすい時期でもあります。

セキュリティ担当者のアクション

優先度と時間軸で分けて提案します。業種・規模に応じて取捨選択してください。

• 0〜72時間（即応）

  • アイデンティティ防御の即時強化
    • 取引高の多いSaaS/IdPで全社MFAを強制（高リスクユーザーはプッシュMFAからFIDO2/Passkeyへ段階的移行）。
    • 条件付きアクセス（地理・デバイス信頼・リスクスコア）で新規端末と未知ASNを段階的に制限。
    • 主要メール・SaaSの転送ルール、アプリパスワード、サードパーティOAuthトークンの棚卸しと強制再認証。
  • 監視とハンティング
    • 短時間に異常なログイン試行→成功（特にレジデンシャルIP帯）を可視化。
    • 役員・財務・購買のメールボックスについて、不審な転送ルール/新規ログイン元/認可済みアプリ追加を点検。
  • 連絡線の確立
    • 法務・広報・SOC・IRの連絡網と初動テンプレート（外部照会対応、パスワード強制リセット告知、規制当局報告基準）を再確認。

• 7〜14日（短期強化）

  • 資産と露出の棚卸し
    • CTIベンダ／内部収集ログに「LeakBase」言及を横断検索。自社・取引先・重要個人（VIP/支払承認者）の露出を優先度付け。
    • 社用メールの“社外サイト使い回し”検出→強制リセットポリシーを一時的に厳格化。
  • コントロールの質向上
    • レガシーメールプロトコル（IMAP/POP/SMTP AUTH）の恒久遮断または例外の厳格管理。
    • 金銭移動の業務フローで“技術＋手続”の二重化（送金先変更は対面/音声確認必須、件名・本文の自動タグ付け、DMARC p=rejectの徹底）。

• 30〜60日（中期整備）

  • CTI能力の再設計
    • “広域監視の量”から“コミュニティ浸透の質”へ。招待制・個別仲介型へのシフトを見据え、言語・時間・人の投資配分を見直す。
  • インフォスティーラー対策の定常化
    • EDRとプロキシでのスティーラー系挙動のルール強化（ブラウザ盗難、クリップボード監視、暗号資産ウォレット探索、Telegram等への即時外送）。
    • 従業員端末でのブラウザ保存パスワード禁止と代替手段（企業管理パスワードマネージャ／SSO／Passkey）の“使える導線”整備。
  • 事後通知への備え
    • 法執行からの被害者照会・通知をトリガーにした内部ワークフロー（範囲特定→封じ込め→規制/顧客報告）の時限管理とレポート雛形を用意。

• ハンティング視点の着眼点（例）

  • 24時間以内に同一アカウントで地理的に矛盾するログイン（Impossible Travel）と、その後のメール転送ルール追加。
  • ログイン成功直後に“委任アクセス/共有設定/外部共有リンク”が追加されたSaaSイベント。
  • 直近2週間で失敗ログインが散発→成功→すぐにMFAデバイスが追加/変更。

• MITRE ATT&CKでの優先検知・抑止対象

  • T1110.004 Credential Stuffing（逆引きでIP/ASN・User-Agentの偏りを分析）
  • T1078 Valid Accounts（成功後のレターラル/権限昇格の早期検知）
  • T1555.003 Credentials from Web Browsers（端末内ブラウザからの抽出挙動）
  • T1539 Steal Web Session Cookie（クッキー再利用検知、リフレッシュトークン無効化）
  • T1098 Account Manipulation（転送ルール、アプリパスワード、認可アプリの追加）
  • T1566 Phishing（配送経路の品質管理：メール、メッセージ、検索広告）

最後に——市場が一時的に静かでも、波は次に備えて力を蓄えます。静けさを「終わり」と見誤らず、「準備の猶予」と捉え直すこと。それが次の荒波で船を守る、最良の投資になります。

参考情報

• 報道: The Hacker News「FBI and Europol Seize LeakBase Forum」（2026/03）: https://thehackernews.com/2026/03/fbi-and-europol-seize-leakbase-forum.html
• MITRE ATT&CK: Valid Accounts（T1078）: https://attack.mitre.org/techniques/T1078/
• MITRE ATT&CK: Brute Force > Credential Stuffing（T1110.004）: https://attack.mitre.org/techniques/T1110/004/
• MITRE ATT&CK: Credentials from Web Browsers（T1555.003）: https://attack.mitre.org/techniques/T1555/003/
• MITRE ATT&CK: Steal Web Session Cookie（T1539）: https://attack.mitre.org/techniques/T1539/
• MITRE ATT&CK: Account Manipulation（T1098）: https://attack.mitre.org/techniques/T1098/
• MITRE ATT&CK: Phishing（T1566）: https://attack.mitre.org/techniques/T1566/
• MITRE ATT&CK: User Execution（T1204）: https://attack.mitre.org/techniques/T1204/