4chanのソースコードが流出か-ハッカーが攻撃を主張、管理者情報も漏洩の可能性

4chanが、深刻なセキュリティインシデントに見舞われているとする報道が相次いでいます。4chanのカスタムソースコード（Yotsuba）全体が漏洩した可能性が指摘されており、加えて管理者やモデレーターの個人情報を含むファイルも流出しているとSNS上で指摘されています。

この事件は単なる技術的な問題にとどまらず、匿名掲示板同士の対立構造を背景とした、新たなタイプのコミュニティ間サイバー攻撃としても注目されています。

Soyjak.stを名乗るハッカーが犯行声明

4月15日未明、4chanの複数の掲示板が断続的にダウンし、画像が表示されない、リンクが機能しないなどの障害が報告されました。当初はDDoS攻撃やサーバートラブルが原因と見られていましたが、直後に競合掲示板「Soyjak.st」のユーザーを名乗る人物が犯行を名乗り出て、4chanのソースコードと管理者情報の一部を漏洩したと主張しました。

攻撃者の投稿は複数のSNS、Telegramチャンネル、Pasteサイトなどに拡散され、実際に「yotsuba.php」だけでなく、管理ツールや設定ファイルを含む多数のコードファイルが確認されました。

Discordチャットログから流出の内部認識も確認

セキュリティメディア「Hackread.com」が報じたところによれば、4chanのDiscordサーバーにおける内部チャットログにて、運営陣が今回のインシデントを認識し、対応に追われている様子が確認されました。加えて、219件の管理者・モデレーターのメールアドレス・ユーザー名・IPアドレスを含むファイルの流出も確認されたとのことです。

なお、今回流出したコードは一部古い記述が多く、「保守されていないコードが多い」とする指摘もあり、新たな脆弱性が発掘・悪用されるリスクも指摘されています。

4chanの構造的脆弱性と過去の漏洩事例

興味深いことに、今回の流出が「初めてではない」という指摘もあります。SNS上では、過去にも4chanのコードが漏洩していた事例が存在し、その際もメンテナンスされていないコードの存在が浮き彫りになっていました。

一部の利用者からは、今回の流出コードの中に「開発中のまま未完成のボード」や「コメントアウトされた古い機能」のコードがそのまま残されていると指摘されており、ソースコードの保守体制の甘さが根本原因のひとつとして浮かび上がっています。

セキュリティ的なインパクトと今後の懸念

4chanは基本的にユーザー登録制を採用しておらず、個人情報の保有量は比較的少ないとされていますが、ソースコードの流出は運用ロジックの把握やシステム内脆弱性の発見につながる可能性があり、次のようなリスクが想定されます

• 管理者操作や削除ルールなどの内部運用フローが外部に露出

• 古いコード中の未修正のバグや脆弱性が特定され悪用されるリスク

• クロスサイトスクリプティング（XSS）や任意コード実行の可能性の拡大

• 他の類似サービス（クローンサイト）への波及的影響

。