「生成AIを使って、楽天モバイルの回線契約プログラムを作った」
2025年、日本社会に衝撃を与えたニュースが飛び込んできました。楽天モバイルのシステムに不正接続したとして、警視庁が中学生を含む少年らを不正アクセス禁止法違反などの容疑で逮捕・再逮捕したのです。
驚くべきはその手口と動機、そして被害額です。
彼らは「生成AI」を活用して自作したプログラムを使い、楽天モバイルのシステムを突破。実に1000件以上の通信回線を不正に契約し、それを転売するなどして約750万円相当の暗号資産(仮想通貨)を得ていたと報じられています。
「AIが犯罪の片棒を担いだのか?」 「中学生でも大企業のシステムを破れる時代になったのか?」 「私の楽天アカウントは大丈夫?」
この記事を読んでいるあなたも、そんな不安や疑問を抱いているかもしれません。
この記事では、単なる事件の概要紹介に留まりません。
- 事件の全貌: 中高生らは具体的に「何」をしたのか?
- 技術の深層: 「生成AIがプログラムを作った」の"本当"の意味とは?
- 企業の脆弱性: なぜ楽天モバイルは狙われたのか?
- 未来の脅威: AIがサイバー犯罪の「民主化」を進める恐怖
- 個人の防衛策: 私たちが「今すぐ」すべきことは何か?
これらすべてを、徹底的に解剖します。これは対岸の火事ではありません。AI時代を生きる私たち全員に関わる「セキュリティの教科書」として、ぜひ最後までお読みください。
- 第1章:事件の全貌 – 中高生が実行した「AIサイバー犯罪」
- 第2章:AIは「共犯」か?–「生成AIがプログラムを作った」の本当の意味
- 第3章:なぜ楽天モバイルは狙われたのか? – 大企業が抱える「AI時代の脆弱性」
- 第4章:私たち個人が「今すぐ」すべき5つの防衛策
- まとめ:AI時代の「鍵」は、もうあなた自身の手元にない
第1章:事件の全貌 – 中高生が実行した「AIサイバー犯罪」
まず、報道されている情報を基に、この衝撃的な事件の輪郭を明らかにしましょう。
実行犯は10代の中高生 主犯格とみられるのは、オンラインゲームで知り合ったとされる14歳から16歳の中高生グループです。彼らが高度なサイバーセキュリティの専門知識を持っていたわけではなく、現代のテクノロジーを「悪用」する知識に長けていたことが特徴です。
手口:「生成AI」によるプログラムの自作 報道によれば、彼らは警察の調べに対し「生成AI(ChatGPTなど)を使ってプログラムを作った」と供述しています。
彼らが狙ったのは、楽天モバイルの「回線契約システム」。 作成されたプログラムは、他人のIDとパスワードを自動で繰り返し入力(試行)し、不正にログインするためのものだったとみられています。
驚愕の試行回数と被害 さらに衝撃的なのは、その規模です。 一部報道では、彼らが不正ログインを試みたIDとパスワードの組み合わせは、延べ30億件以上にものぼるとされています。
これは、彼らが「ダークウェブ」などで不正に入手したID・パスワードのリスト(流出情報)を使い、楽天モバイルのログイン画面に対して総当たり攻撃(リスト型攻撃)を仕掛けたことを意味します。
その結果、1000件を超える通信回線(SIM)が不正に契約されました。
目的:750万円の「利益」 彼らは不正に契約した回線やSIMを、SNSなどを通じて転売。その売上は約750万円相当の暗号資産に換えられていました。動機は金銭目的、そしてSNSでの承認欲求だったとみられています。
大企業を相手取り、最新のAI技術を悪用し、短期間で莫大な利益(彼らにとっては)を得る。まるでサイバーパンク映画のような事件が、現実の日本で、しかも中高生の手によって引き起こされたのです。
第2章:AIは「共犯」か?–「生成AIがプログラムを作った」の本当の意味
この事件で最も世間の注目を集めたのが「生成AIがプログラムを作った」という部分です。まるでAIが自らの意志で犯罪プログラムを開発したかのような印象を受けますが、現実は異なります。
AIは「主犯」でも「共犯」でもなく、極めて優秀な「道具(ツール)」として使われました。
AIは「何」を手伝ったのか?
現状の生成AI(ChatGPT-4oやClaude 3など)は、ゼロから「楽天モバイルのシステムをハッキングする全自動プログラム」を自律的に開発することはできません。しかし、攻撃に必要な「部品」を作ることは極めて得意です。
今回の事件でAIが担った役割は、大きく分けて以下の3つだと推測されます。
1. 「リスト型攻撃」スクリプトの生成
少年らが実行したとみられる「30億件のID/パスワード試行」。これを手作業で行うのは不可能です。彼らはAIにこう依頼したはずです。
「Python(プログラミング言語)を使って、特定のウェブサイトのログインページ(URL)に、このリスト(IDとパスワードのファイル)の情報を順番に試行し、ログインに成功したら通知するスクリプトを書いて」
このような指示(プロンプト)は、現在の生成AIにとって「朝飯前」です。AIは、ウェブサイトの操作を自動化する「Selenium」や「Playwright」といったライブラリを使ったコードを、ものの数十秒で生成します。
もちろん、AIは「不正アクセスに使う」とは知りません。「ウェブサイトのログインテストを自動化したい」という開発者の一般的な要求として処理するからです。
2. 「契約フォーム」の自動入力
不正にログインした後、1000件もの回線を契約するには、氏名、住所、連絡先などの情報をフォームに手入力する必要があります。これも非常に手間がかかります。
そこで、彼らは再びAIに依頼したでしょう。
「このウェブページのフォーム(HTML構造)を解析して、指定した情報を自動で入力(POST)するプログラムを作って」
これもAIの得意分野です。結果として、ログインから契約完了までを「全自動」で行うプログラムが完成したと考えられます。
3. エラーのデバッグとコードの最適化
プログラムは一度で完璧に動くとは限りません。楽天モバイル側のちょっとしたセキュリティ対策(CAPTCHA認証など)に阻まれることもあったはずです。
「うまく動かない。このエラーの原因は何?」 「もっと高速に処理(試行)するにはどうすればいい?」
少年らは、AIを「優秀な家庭教師」あるいは「24時間働く同僚エンジニア」のように使い、プログラムの精度を上げていったのです。
攻撃の「民主化」という恐怖
この事件が突き付けた最も恐ろしい現実は、「サイバー攻撃の民主化(コモディティ化)」です。
従来、こうした攻撃用プログラム(ボット)を作成するには、ネットワーク、プロトコル、サーバー、プログラミング言語に関する高度な知識と経験が必要でした。
しかし今や、「何をしたいか」を日本語でAIに指示できれば、ある程度のスキル(中高生レベルのIT知識)さえあれば、誰でも強力な攻撃ツールを「自作」できてしまう時代になったのです。
AIは、攻撃のハードルを劇的に下げてしまいました。これは、国内でAIを使ってランサムウェア(身代金要求型ウイルス)を作成し、逮捕者が出た事例(2024年)とも共通する、現代の深刻なリスクです。
第3章:なぜ楽天モバイルは狙われたのか? – 大企業が抱える「AI時代の脆弱性」
「悪いのは100%攻撃した側だ」——それは間違いありません。しかし、セキュリティの世界では「攻撃された側にも課題はなかったか?」という視点での分析が、再発防止のために不可欠です。
中高生の作った(AIが補助したとはいえ)プログラムで、なぜ1000件もの不正契約が成立してしまったのでしょうか。
推測される「システムの穴」
楽天モバイル側は「当社システムからのID・パスワードの流出は確認されていない」と発表しています。これは裏を返せば、「外部から持ち込まれたID・パスワード(リスト型攻撃)による不正ログインは許してしまった」ことを認めた形になります。
考えられるシステムの「穴」は以下の通りです。
1. リスト型攻撃対策(WAF・レートリミット)の不備
「延べ30億件」ものログイン試行は、通常の人間によるアクセスではありません。短時間に同一IPアドレスや異なるIPアドレスから大量のログイン失敗が観測されたはずです。
通常、まともなシステムであれば、WAF(Web Application Firewall)やレートリミット(試行回数制限)機能が作動し、異常なアクセスを検知して自動的にブロックします。
例えば、「5回ログインに失敗したら、そのアカウントを一時ロックする」「同一IPから1分間に100回以上のアクセスは遮断する」といった対策です。
30億件の試行が(ある程度)通ってしまったということは、この防御機構が十分でなかったか、あるいは少年らがAIの助けを借りてこの防御を巧妙に回避(IPアドレスを分散させるなど)した可能性があります。
2. 契約プロセスの自動化耐性の欠如
仮に不正ログインに成功したとしても、通常は「回線契約」という重要なプロセスには、eKYC(電子的本人確認)やクレジットカードの有効性チェックなど、追加の障壁があるはずです。
1000件もの契約が「自動化プログラム」によって実行されたということは、この契約プロセス自体も、プログラム(ボトット)によって容易に突破できる仕様だった可能性が否めません。
過去の教訓は生かされなかったか?
実は、楽天モバイルは今回の事件以前にも、不正ログイン関連で総務省から行政指導を受けています。
2025年8月には、相次ぐ不正ログインによる個人情報漏洩(通話履歴などが閲覧可能だった)に対し、「通信の秘密」の漏洩があったとして厳重注意を受けました。
これらの過去のインシデントを踏まえると、楽天モバイルのシステム(特に認証・認可周り)に、構造的な課題があったのではないかと疑われても仕方がありません。
企業側は、「まさかAIでこんなプログラムが作られるとは」「中高生にここまでやられるとは」という想定の甘さを捨て、「攻撃者はAIを使い、最短距離で脆弱性を突いてくる」という前提に立った、AI時代仕様のセキュリティ対策(AIによる異常検知など)へと考え方をアップデートする必要に迫られています。
第4章:私たち個人が「今すぐ」すべき5つの防衛策
「企業側の問題なら、個人には関係ない」——そう思ったなら危険です。
今回の事件は、ダークウェブで売買されていた「流出パスワード」が起点となった「リスト型攻撃」です。その「流出パスワード」は、あなたが過去に使っていた別のサービスから漏れたものかもしれません。
あなたの情報が、次の「中高生」によって狙われない保証はどこにもありません。
AIの攻撃から身を守るために、私たち個人ができる防衛策は、実は非常にシンプルです。今すぐ、以下の5つを確認・実行してください。
1. パスワードの「使い回し」を【絶対に】やめる
これが最も重要です。 今回の事件で被害に遭った(アカウントを乗っ取られた)人は、ほぼ間違いなく「他のサービスで漏れたIDとパスワード」を、楽天モバイルでも「使い回し」ていたはずです。
「Amazonと楽天とYahoo!で全部同じパスワード」 「A銀行とB証券で同じパスワード」
これは、自宅と金庫とオフィスの鍵をすべて「同じ鍵」にしているのと同じです。1つ盗まれたら(漏洩したら)、すべての扉が開けられてしまいます。
2. すべてのパスワードを「複雑」にし、「パスワードマネージャー」で管理する
「じゃあ全部違うパスワードにすればいいんだね」と思っても、人間が記憶できる数には限界があります。
R@kuten-P@ss_2025!
Amaz0n-Secr3t-Key!
このような複雑なパスワードを、サービスごとに何十個も覚えるのは不可能です。 そこで、「パスワードマネージャー」(「1Password」や「Bitwarden」、OS標準の「iCloudキーチェーン」「Googleパスワードマネージャー」など)を使いましょう。
あなたが覚えるのは、そのマネージャーを開くための「1つの最強のパスワード(マスターパスワード)」だけです。あとはすべて、マネージャーが自動で生成・保存・入力してくれます。これを使わない手はありません。
3. 「二段階認証(2FA)」を最強の砦にする
パスワードマネージャーと並んで強力なのが「二段階認証(2FA)」です。 これは、ID/パスワードでログインした後、さらに「スマホアプリに表示される6桁のコード」や「SMSに届くコード」の入力を求める仕組みです。
万が一、リスト型攻撃でパスワードが突破されても、攻撃者はあなたのスマホ(認証アプリ)を持っていなければログインできません。
金融機関、ショッピングサイト、主要なSNSなど、二段階認証が設定できるサービスは、今すぐ、すべて有効にしてください。
4. 身に覚えのない「契約」や「利用履歴」がないか確認する
楽天モバイルは、利用者に「my 楽天モバイルや利用明細を確認し、身に覚えのない回線がないか確認してほしい」と呼びかけています。
これは楽天モバイルに限りません。 クレジットカードの明細、キャリア決済の履歴、Amazonの購入履歴など、最低でも月に一度は「利用明細」に目を通す習慣をつけましょう。不正利用は、早期発見が何よりも重要です。
5. AIのリスクを「正しく」知る
AIは魔法の杖でも、悪魔の道具でもありません。正しく使えば生産性を爆発的に上げますが、悪用されれば社会を破壊する凶器にもなります。
「AIが作ったコードは(学習データが古いため)脆弱性だらけだ」という研究報告(AI生成コードの約40%に脆弱性があったという調査結果もあります)もあれば、「AIが人間のレビューアよりも高速に脆弱性を発見する」という側面もあります。
「AIは危ないから禁止」ではなく、「AIはこういうリスクがあり、こういう悪用をされやすい」というリテラシーを持つことが、個人にとっても社会にとっても最強の防御となります。
まとめ:AI時代の「鍵」は、もうあなた自身の手元にない
今回の「楽天モバイル不正接続事件」は、AI技術がサイバー犯罪の敷居を劇的に下げ、中高生ですら大企業のシステムを脅かす「攻撃者」になり得る時代が到来したことを、強烈に示しました。
生成AIは、攻撃プログラムの「設計図」と「製造機」の両方を、安価に提供してしまったのです。
私たちにできることは、2つしかありません。
個人として: もはや「パスワード」という仕組み自体が時代遅れになりつつあります。「使い回しをしない」「二段階認証を徹底する」という、“今すぐできる最強の防御”を怠らないこと。あなたの「面倒くさい」という感情が、最大のセキュリティホールです。
社会・企業として: 「AIによる攻撃」が当たり前になった以上、「AIによる防御(AIを活用したリアルタイムの異常検知)」で対抗するしかありません。企業のセキュリティ担当者は、AI時代の新たな脅威モデルに対応する必要があります。
技術の進歩は止められません。私たちが変わるしかないのです。 この記事を読み終えたら、まず、あなたのメインバンクと楽天、Amazonのパスワード設定を見直すことから始めてください。
こちらの動画では、中学生らが生成AIを使用して楽天モバイルに不正アクセスした事件の概要が報じられています。 中学生ら3人逮捕 生成AIを使用 「楽天モバイル」不正アクセスか www.youtube.com
この動画は、今回取り上げた事件の背景を理解する上で参考になります。
