楽天モバイルのシステムに対する不正アクセス事件について、事件の概要と技術的側面から分析し、実際の教訓と対策をまとめました。
事件の概要
2025年2月27日、楽天モバイルのシステムに不正ログインを行ったとして、中高生3人(高校生1名、中学生2名)が不正アクセス禁止法違反と電子計算機使用詐欺の疑いで逮捕されました。
- 犯行期間: 2024年5月〜8月
- 不正取得額: 約750万円相当の仮想通貨
- 犯行動機: 「お金ほしさと(ハッキング技術を)仲間に自慢したかった」
- 連絡手段: テレグラム(秘匿性の高いメッセージアプリ)
- 関係性: オンラインゲームで知り合った中高生(岐阜県、滋賀県、東京都)
犯行手法の技術的分析
主な構成要素
| 項目 | 詳細 |
|---|---|
| ID・パスワードリスト | 約20億件以上のデータを購入 |
| 通信手段 | テレグラム(E2E暗号化で秘匿性が高い) |
| 攻撃対象 | 楽天モバイルの契約回線 |
| 不正プログラム | 高校生がAIを活用して作成 |
| 不正利用 | eSIMの回線契約と転売 |
攻撃の流れ
- テレグラムを通じてID・パスワードリストを購入
- AIを利用して攻撃プログラムを作成
- 楽天モバイルのサイトに対してパスワードリスト攻撃を実行
- 成功したアカウントでeSIM回線を契約
- 契約した回線をテレグラムで転売
技術的特徴
- 膨大なID・パスワードリストから自動的にログインを試行
- 攻撃が検出されないよう、同一IDへの連続アクセスを制限する工夫があった可能性
- 既存契約者のアカウントを悪用し、追加回線(eSIM)契約を行った
AIの関与と犯罪のハードル
記事では、生成AI(ChatGPT)を使って攻撃プログラムが作成された点に注目されていますが、著者は以下の点を強調しています:
- 通常の生成AIにはエシカルフィルターがあり、直接的な攻撃コードは生成しない
- しかし質問の仕方を工夫すれば、自動ログインプログラムなどは作成可能
- AIによって犯罪のハードルは下がるが、本質的な問題点はそこではない
- 「AIを使えば子供でも犯罪が可能」という論調は的外れで、根本的解決にならない
実際の教訓と対策
個人ができる対策
| 対策 | 詳細 |
|---|---|
| 2要素認証の設定 | ログインや決済に関する通知設定と併用する |
| パスワードの使い回し禁止 | パスワードマネージャーやブラウザのパスワード管理機能を活用 |
| 認証アプリの利用 | より安全な認証方法を採用する |
| 不審なログイン通知の確認 | 身に覚えのない操作があれば即座に対応する |
事業者側の対策
- 回線契約の手順やフローの見直し
- 2要素認証や通知のフローを取引や画面遷移に組み込む
- 本人確認や契約変更時のなりすまし防止機能の強化
- 定期的なセキュリティ対策の見直し
まとめ
この事件は、「中高生がAIを使ってハッキング」という表面的な側面だけでなく、パスワードリスト攻撃という基本的なサイバー攻撃の脅威と、それに対する実践的な対策の重要性を示しています。AIや未成年の犯罪というキーワードに惑わされず、セキュリティの基本に立ち返った対応が必要です。個人も企業も、常に自分の防御を強化し、パスワード管理と認証方法を見直すことが重要です。
Follow me!
コメント