複合カフェ「快活CLUB」の運営会社へのサイバー攻撃をめぐり、警視庁サイバー犯罪対策課は7月9日までに新たに18歳の会社員男性を不正アクセス禁止法違反の疑いで逮捕した(複数メディア報道)。男性は ChatGPTを使って不正プログラムを作成 し、Discordのグループチャットでメンバーに配布していたとされる。グループには 当時小学6年生の子どもも参加 していた。
「コードが書けなくても攻撃できる」時代が来た #
今回の攻撃チェーンは単純だ。
かつてサイバー攻撃には一定のプログラミング知識が必要だった。しかし今は ChatGPT に自然言語で指示するだけで、ある程度機能する攻撃コードが生成できてしまう。これは「Script Kiddie 問題」の次のステージだ——既製ツールを流用する旧来の手口とは異なり、生成 AI が新しい攻撃ツールを量産し、Discord が流通網になるという新しいサプライチェーンが機能し始めている。
企業が直視すべき「攻撃者像の変容」 #
快活 CLUB を狙ったのは、国家支援の APT グループでも洗練されたランサムウェアギャングでもなかった。素人の少年グループだ。この事実は企業のセキュリティ担当者に根本的な問いを突きつける——「高度な攻撃者だけを想定した防御」で足りるのか、と。
技術レベルが低いが人数の多い"スプレー型攻撃"への耐性を高めるには、管理画面への IP 制限、ブルートフォース対策、ログ監視の自動化といった 基礎防御の徹底 こそが最も現実的な一手だ。724 件もの不正通信が実行されたという事実は、生成 AI 製の攻撃ツールがすでに実害を出せるレベルにあることを証明している。
生成 AI のガードレール強化、捜査機関の Discord 監視能力の向上、学校・家庭での倫理教育——三方向からの取り組みが同時に必要な問題だ。攻撃者は一回成功すれば勝ちで、防御側はすべてを守り続けなければ負けという非対称性は変わらない。生成 AI が今、その非対称性をさらに攻撃者側に傾けている。
COMMENTS 0
まだコメントはありません。最初のコメントを投稿しよう。