2026年7月、警視庁サイバー犯罪対策課は、動画配信サービス「バンダイチャンネル」に不正アクセスし約4万6800アカウントを無断退会させたとして、埼玉県所沢市の高校1年男子生徒(15歳)を偽計業務妨害の疑いで再逮捕した。犯行は2025年11月、同生徒が中学3年・14歳のころのこと。注目を集めているのは犯行時の年齢だけではなく、対話型AI「ChatGPT」を使って不正プログラムを自作していたという手口だ。
手口:通信解析 → 認証バイパス → AI支援で自動化 #
報道によれば、生徒はバンダイチャンネルの通信内容を自ら解析し「ユーザIDとパスワードなしでログイン可能な方法」を発見したとされる。認証フローの実装不備——認証バイパスないし IDOR(Insecure Direct Object Reference)系の欠陥とみられる——を突き、ChatGPTの支援で退会処理を自動実行するプログラムを作成した。アクセスを遮断されても約30回にわたりIPアドレスを切り替えて攻撃を継続。捜査では会員のメールアドレスや支払い方法を抜き取る別プログラムも実行した形跡が通信履歴から確認されている。
バンダイナムコフィルムワークスは2025年11月6日に全サービスを緊急停止。外部専門機関の調査を経て同年12月19日に再開したが、最大136.6万件の個人情報(メールアドレス・ニックネーム・支払い方法・バンダイナムココイン残高情報)が漏えいした可能性があると公表。停止期間中の利用料返金対応も余儀なくされた。
攻撃が「民主化」する時代の防衛設計 #
この事件を少年犯罪の文脈だけで消費すると本質を見誤る。プログラミング経験が浅い14歳がLLMの支援でAPIの欠陥を発見し、攻撃を自動化した事実は、生成AIが攻撃者のスキルギャップを急速に埋めていることを示す。「攻撃者のスキルが低ければ脅威も小さい」という前提はすでに成立しない。
守る側が今すぐ見直すべきは、認証エンドポイントのゼロトラスト設計・レート制限・異常リクエスト検知の組み合わせだ。ChatGPTが攻撃の「自動化補助」として機能する以上、開発側も防御テストにLLMを積極活用し、実装前に認証バイパスの経路を潰す文化を根付かせる必要がある。バンダイチャンネルの事例は、AIが普及した世界で日本のWebサービスが抱えるセキュリティ設計の課題を鮮明に映し出した。
COMMENTS 0
No comments yet — be the first to leave one.