東京報道新聞

警視庁サイバー犯罪対策課は2025年12月4日、インターネットカフェ「快活CLUB」などを運営する企業のサーバーに不正アクセスを行ったとして、大阪市平野区に住む高校2年生の男子生徒（17）を不正アクセス禁止法違反および偽計業務妨害の疑いで再逮捕しました。 捜査関係者によると、男子生徒は対話型生成AI「ChatGPT」を悪用してサイバー攻撃用のプログラムを作成・修正し、企業のサーバーに対して大量の不正指令を送りつけたとされています。 生成AIがサイバー犯罪のツール開発に直接的に悪用された事例として、捜査当局は手口の詳細な解明を進めています。

逮捕容疑は2025年1月18日から20日までの間、共謀者らと共に、快活CLUBやフィットネスジム「FiT24」を運営する快活フロンティア（横浜市）が管理する公式アプリのサーバーに対し、会員情報を外部へ送信させる不正な指令を約724万回にわたって送信し、同社の業務を妨害した疑いです。 この攻撃によりサーバーに過度な負荷がかかり、アプリの一部機能が停止するなどの被害が発生しました。 また、同社は氏名や住所、電話番号などを含む会員情報約729万件が漏えいした可能性があると公表しており、大規模なセキュリティインシデントへと発展しました。

特筆すべきは、犯行における生成AIの利用方法です。 一般的にChatGPTなどの生成AIには犯罪への悪用を防ぐための制限が設けられていますが、男子生徒は「攻撃」という直接的な言葉を避け、遠回しな表現や文脈を変えた質問を繰り返すことで、この制限を回避していたとみられます。 彼はAIに対してサーバーの防御をすり抜ける方法やプログラムのエラー修正方法を何度も問いかけ、攻撃コードを精緻化させていったとされています。 調べに対し、男子生徒は「システムの脆弱性を見つけるのが楽しかった」と供述し、容疑を概ね認めているということです。

さらに男子生徒は、小学生の頃からプログラミングを独学で学び、過去にはサイバーセキュリティ関連のコンテストで入賞した経験も持つなど、高いITスキルを有していました。 犯行時にはコミュニケーションアプリ「Discord」上で攻撃の様子を実況中継するなど、自身の技術を誇示するような行動も確認されています。 こうした行為は、技術力を承認欲求のはけ口として用いる危うさを浮き彫りにしています。

高度な技術を持つ未成年による犯行と企業の対応

今回再逮捕された男子生徒は、2024年5月ごろに他人のクレジットカード情報を使って商品を不正購入したとして、2025年11月に窃盗容疑ですでに逮捕されていました。 一連の捜査の中で快活CLUBへのサイバー攻撃への関与が浮上し、サイバー犯罪と決済情報の不正利用が結びついた形で捜査が進められた形です。 高い技術力を持つ若者が倫理観を欠いたままサイバー犯罪に手を染めてしまう現状が浮き彫りになっており、ネット上では未成年による犯罪の大胆さに驚きの声が広がっています。

被害を受けた快活フロンティアの親会社であるAOKIホールディングスは、事件発覚後の2025年1月に不正アクセスの事実を公表しました。 同社によると、すでに攻撃を受けたプログラムの改修やセキュリティ強化などの再発防止策は実施済みであり、現時点では漏えいした情報の不正利用などの二次被害は確認されていないとしています。 しかし、700万件を超える個人情報が危険にさらされた事実は重く、生成AIの進化がサイバー攻撃の敷居を下げ、容易に高度な攻撃プログラムを作成できるようになった新たなリスクに対し、企業側の防御体制の見直しや、社会全体での法整備と倫理教育の重要性が改めて問われています。