2025年2月、楽天モバイルのシステムが不正にアクセスされ、大量の通信回線が契約・転売されていたことが発覚しました。驚くべきことに、この犯行を主導していたのは14~16歳の中高生3人であり、彼らは生成AI(ChatGPT)を利用して不正プログラムを作成し、短期間で1000件以上の回線を取得していたと報じられています。
この事件は、単なるサイバー犯罪ではなく、生成AIの悪用が新たな犯罪手法として現れたことを示唆するものです。本記事では、事件の概要や不正アクセスの手口、世間の反応、そして今後の影響について詳しく解説していきます。
中高生による不正アクセス事件の詳細
楽天モバイルを標的とした今回の不正アクセス事件は、国内外のサイバーセキュリティ専門家からも注目されています。ここでは、事件の経緯や背景、逮捕された人物について詳しく見ていきます。
何が起こったのか? 事件の概要
警視庁によると、逮捕された3人の中高生は、SNS上で不正なIDとパスワードのセットを購入し、それを使って楽天モバイルのシステムにログイン。自作のプログラムを用いて大量の回線を契約し、それらを転売して利益を得ていました。
- 不正契約された回線数:1000件以上
- 逮捕された人物:
- 滋賀県の中学3年生(15歳)
- 岐阜県の高校1年生(16歳)
- 東京都の中学3年生(14歳)
- 得られた利益:約750万円相当の暗号資産
- 犯行手段:SNSで購入したアカウント情報を活用し、AIを駆使して不正ログインを実行
警視庁の調査では、この手口が極めて高度なものであり、組織的な手法が用いられていたことが指摘されています。
逮捕された中高生の背景
この3人は、オンラインゲームを通じて知り合った仲間同士であり、秘匿性の高い通信アプリ「テレグラム」を使って連絡を取り合っていました。彼らの犯行動機には、以下のようなものがあるとされています。
- 「SNSで犯罪を自慢し、尊敬されたかった」(供述より)
- 「簡単にお金を稼げると思った」
- 「ゲーム感覚で楽しんでいた」
特に、リーダー格とみられる高校生は、プログラムの開発を担当しており、ChatGPTなどの生成AIを活用して短期間で実行可能なコードを作成していたことが判明しています。
逮捕容疑と関係法令
警視庁は、この3人を以下の容疑で逮捕しました。
- 不正アクセス禁止法違反
- 他人のID・パスワードを不正に使用し、楽天モバイルにアクセスしたことが違反に該当。
- 電子計算機使用詐欺
- 楽天モバイルの契約システムを不正に利用し、通信回線を契約・転売したことが詐欺行為と認定。
未成年のため、刑事責任の範囲は限定される可能性が高いですが、今回の事件の影響を踏まえ、厳しく処罰される可能性も指摘されています。
不正アクセスの手口とは?
楽天モバイルの不正アクセス事件では、SNSでの情報収集・AIの活用・プログラムによる自動化といった複数の要素が組み合わさっていました。ここでは、どのようにして中高生が短期間で1000件以上の回線を契約できたのか、その手口を解説します。
ID・パスワードの入手方法
この事件では、楽天モバイルの正規ユーザーのIDとパスワードが不正に取得され、ログインに使用されていました。捜査関係者によると、3人は以下のような手段でID・パスワードを入手していたとみられます。
- SNS上で流通していたアカウント情報を購入
- ダークウェブやテレグラムを利用し、数億件規模のIDリストを取得
- パスワードリスト攻撃を活用(過去に流出した情報を使って総当たり試行)
楽天モバイルは楽天IDでログインするため、楽天市場や楽天銀行などの情報が漏れていると、同じID・パスワードが使い回されている可能性がありました。この弱点を突かれたことで、不正アクセスが成功しやすかったと考えられます。
自作プログラムの仕組み
逮捕された高校生を中心に、3人はログイン情報を入力し、自動的に回線契約を進めるプログラムを作成していました。具体的なプログラムの内容は公表されていませんが、一般的に以下のような処理が考えられます。
- ID・パスワードを順番に入力し、ログインを試行
- 認証に成功したアカウントを記録
- 契約手続きを自動化し、短時間で大量の回線を取得
手動で不正アクセスを行うと時間がかかりますが、プログラムを活用することで、数百・数千件単位の試行が可能となります。
ChatGPTの活用による処理速度の向上
警察の調べでは、犯行グループはChatGPTなどの生成AIを使って作業を効率化していたことが分かっています。AIを利用したことで、以下のような点で処理がスムーズになったと考えられます。
- プログラムのエラー修正:コードのバグを素早く修正し、動作を安定させる
- ログインスクリプトの最適化:試行回数を増やし、不正ログインの成功率を高める
- 回線契約手続きの自動化:楽天モバイルの契約画面を解析し、最短ルートで進める
ただし、ChatGPT自体が不正プログラムを直接生成したわけではなく、「犯行を効率化する補助ツール」として活用されていたとみられています。
楽天モバイルのセキュリティ対策とその限界
楽天モバイルのシステムは、今回の不正アクセスによって複数の脆弱性が浮き彫りとなりました。本セクションでは、楽天モバイルのセキュリティ対策とその限界について解説します。
楽天モバイルのID管理システムの仕組み
楽天モバイルは、楽天グループ共通の「楽天ID」をログイン認証に利用しています。これにより、楽天市場や楽天証券などの他のサービスと共通のアカウントで利用できる便利さがありますが、逆に1つのIDが突破されると複数のサービスに不正アクセスされるリスクも抱えています。
楽天IDのセキュリティ機能には以下のようなものがあります。
- ログイン通知:新しい端末やIPアドレスからのログイン時に通知を送信
- 2段階認証(オプション):SMSや楽天認証アプリを使った追加認証
- パスワード変更の推奨:定期的なパスワード変更を案内
しかし、これらの対策はユーザーが自主的に設定しなければ効果を発揮しないため、セキュリティ意識の低いユーザーが狙われやすい問題があります。
1IDで15回線契約可能なシステムの脆弱性
楽天モバイルでは、1つの楽天IDで最大15回線まで契約可能となっています。この仕組みが、今回の不正契約を加速させた要因の一つでした。
犯行グループは、一度ログインに成功したIDを使い、短時間で複数の回線を契約。通常の利用者であれば、一度に多数の回線を契約することは少ないため、この異常な契約数は不審な動きと判断されるべきでした。
しかし、楽天モバイル側の検知システムは「異常な大量契約」を即座にブロックする仕組みを備えていなかったとみられ、これが被害拡大を招いた可能性があります。
楽天側の対応と今後の対策
事件発覚後、楽天モバイルは公式声明を出していませんが、過去には類似の不正アクセス被害を受けた際に以下のような対応を取っています。
- 不審なログイン試行を監視し、一部のIPアドレスをブロック
- 長期間パスワードを変更していないユーザーへの注意喚起
- eSIM再発行時の本人確認の強化
今回の事件を受けて、楽天モバイルには「ログイン時の多要素認証を義務化する」「不審な契約パターンをAIで検知する」といったさらなる対策が求められています。
ネット・世間の反応
楽天モバイルの不正アクセス事件が報じられると、SNSや掲示板ではさまざまな意見が飛び交いました。特に未成年による高度なサイバー犯罪、生成AIの悪用、楽天モバイルのセキュリティ体制に対する反応が目立ちました。ここでは、SNSや専門家の意見を中心に世間の反応を紹介します。
SNSの反応:「AI犯罪が増えるのでは?」
Twitter(現X)や5ちゃんねるでは、未成年によるサイバー犯罪の巧妙さと大胆さに驚く声が多く見られました。
また、「AIが犯罪を助長している」という意見が多数寄せられ、今後のAI規制の必要性について議論が広がっています。
一方で、生成AIの関与については「過剰に煽りすぎでは?」との指摘もありました。
このように、AI技術の進歩とリスクについて賛否が分かれています。
専門家のコメント – AI時代のサイバー犯罪リスク
サイバーセキュリティの専門家の間では、「生成AIが悪用されるリスクは以前から指摘されていた」とする見解が多く、今回の事件はその懸念が現実になった一例と見られています。
- 「AIを使えば誰でもプログラミングができる時代になった」(セキュリティ企業A)
- 「今後、AIを駆使したフィッシング詐欺やランサムウェア攻撃が増加する可能性がある」(情報セキュリティ研究者B)
- 「防御側もAIを活用しなければ、攻撃者に対抗できない」(ホワイトハッカーC)
特に、日本国内では「AIを使った犯罪を規制する法律が追いついていない」という指摘もあり、AIを用いた不正行為に対する法整備が今後の課題とされています。
考察・影響 – 一般人への影響とAI犯罪のリスク
楽天モバイルの不正アクセス事件は、企業やセキュリティ関係者だけでなく、一般のインターネットユーザーにも影響を与える可能性があると指摘されています。ここでは、今回の事件がもたらす影響と、今後のリスクについて考察します。
一般人への影響 – 自分のアカウントは大丈夫か?
今回の事件で特に注目すべきなのは、不正アクセスに使用されたのが既存の楽天IDとパスワードであった点です。これは、楽天モバイルのユーザーだけでなく、すべての楽天ID利用者にとってもリスクになり得ます。
✅ ID・パスワード漏洩の確認方法
- 楽天の「ログイン履歴」を確認(不審なアクセスがないかチェック)
- 「Have I Been Pwned」などの漏洩チェックサービスを活用
- 楽天モバイルや楽天市場の利用明細を確認
✅ 不正アクセスを防ぐための対策
- パスワードの使い回しをしない(異なるサービスで同じパスワードを使用すると危険)
- 2段階認証を有効化(楽天モバイルではオプション設定)
- 不審なメールやSMSに注意(フィッシング詐欺によるID流出を防ぐ)
被害を防ぐためには、「自分のアカウントが狙われる可能性がある」という意識を持ち、普段からセキュリティ対策を徹底することが重要です。
生成AIと犯罪 – これからのリスク
今回の事件では、ChatGPTのような生成AIが「プログラムの開発支援」として活用されたことが特徴的でした。これにより、専門知識のない人間でも高度なサイバー犯罪を行いやすくなっていることが示されました。
今後、以下のようなリスクが拡大する可能性があります。
- フィッシング詐欺の高度化(AIを使ったリアルな偽メール・偽サイトの作成)
- ランサムウェアの開発(AIによるマルウェアのコード生成が容易に)
- ディープフェイク詐欺の増加(偽の音声や動画を使った詐欺が拡大)
このような状況を受け、世界各国ではAIを悪用した犯罪に対する規制強化の議論が進んでいます。日本国内でも、「AI犯罪」に特化した法整備が必要と考えられています。
まとめ
今回の楽天モバイル不正アクセス事件は、未成年によるサイバー犯罪の新たな手法として大きな注目を集めました。以下に、本記事のポイントをまとめます。
- 事件の概要:14~16歳の中高生3人が楽天モバイルのシステムに不正アクセスし、1000件以上の回線を契約・転売
- 手口の特徴:SNSで購入したID・パスワードを活用し、自作プログラムを用いて短期間で大量の契約を実行
- 生成AIの関与:ChatGPTを活用し、不正ログインのスクリプト作成や処理速度の向上を実現
- 楽天モバイルのセキュリティ課題:1IDで最大15回線まで契約可能なシステムが悪用され、検知体制が不十分だった
- ネットの反応:「未成年でもここまでできるのか」と驚く声や、AI悪用のリスクに対する懸念が多数
- 今後の影響:AIを活用したサイバー犯罪の増加が懸念され、日本でも法整備の必要性が高まっている
この事件は、生成AIの普及がもたらす光と影の両面を浮き彫りにした事例とも言えます。AI技術が進化することで、利便性が向上する一方で、犯罪の高度化・自動化も進んでしまうリスクがあります。
また、楽天モバイルのようにID・パスワードによる認証に依存するシステムは、今後さらに厳しいセキュリティ対策が求められるでしょう。企業側だけでなく、個人ユーザーも、「パスワードの管理」や「2段階認証の設定」などの基本的なセキュリティ対策を徹底することが重要です。
今後、AIを活用したサイバー犯罪が増加する可能性がある中で、技術の発展と規制のバランスをどう取るかが社会的な課題となるでしょう。
📌 執筆者:村上 陽介
IT・テクノロジー専門ライター/トレンド分析家
テクノロジーやサイバーセキュリティに関する記事を執筆。最新の技術動向を分かりやすく解説し、読者が知りたい情報を正確に伝えることをモットーとしている。
