2025年2月、楽天モバイルのシステムに不正ログインを行ったとして中高生3人が逮捕されました。彼らはID・パスワードリストを使い、AIを活用した攻撃プログラムで不正アクセスを行い、約750万円相当の仮想通貨を詐取しました。
| 要素 | 詳細 |
|---|---|
| 犯行グループ | オンラインゲームで知り合った中高生3人(高校生1人・中学生2人) |
| ID・パスワードリスト | 約20億件以上のデータ。ダークウェブで購入 |
| コミュニケーションツール | テレグラム(秘匿性の高いメッセージアプリ) |
| 攻撃ツール | 岐阜県の高校生がChatGPTを利用して作成した不正プログラム |
| 標的 | 楽天モバイルのユーザーアカウント |
| 犯行期間 | 2024年5月〜8月 |
| 不正取得したもの | eSIM回線契約 |
| 利益獲得方法 | 契約回線をテレグラムで転売 |
ダークウェブを通じて約20億件のID・パスワードリストを購入。古いアカウントや無効なものも含まれるが、一部は有効。
高校生がChatGPTを使用して攻撃プログラムを作成。同一IDに対して短時間に不審なログインが集中しないよう工夫。
プログラムを使って自動的にログインを試行。成功したアカウントで新たな回線契約を実施。
不正ログインしたアカウントを使い、簡易な本人確認手続きでeSIM回線を契約。
テレグラムを通じて契約回線を転売し、約750万円相当の仮想通貨を獲得。
テレグラムは暗号化通信が可能なメッセージアプリで、エンドツーエンドの暗号化(E2E暗号化)により通信内容が第三者に把握されにくい。犯罪者やテロ組織の通信に使われることがある。
通常、生成AIにはエシカルフィルターが備わっているが、「自動的にログインするプログラムの作り方」のような工夫した質問をすれば、攻撃に使えるコードを生成できる。
既存契約者のアカウントにログインできれば、厳密な本人確認なしに「マイページ」から簡単に追加回線を契約できる仕組みが悪用された。
「AIが未成年の犯罪を助長する」という表面的な問題設定ではなく、サイバーセキュリティの基本である認証の強化とパスワード管理の徹底が重要。技術的対策と教育の両面からのアプローチが必要。