NEW! ITニュース
2025年に相次いだ、学生による不正アクセス事件。回線の不正契約や会員情報の大量取得といった行為は、単なる「いたずら」では済まされない被害を生んだ。いずれも未成年による犯行とされ、生成AIが一部で使われていた点も大きな注目を集めた。
それでも事件が報じられるたび、SNSでは「才能ある若者を犯罪者として終わらせるべきではない」
「ホワイトハッカーとして育てる道があるのではないか」といった、ある種の“善意の議論”も活発化している。
この議論は、本当に現場の実態を踏まえたものなのだろうか。今回その疑問をぶつけたのは、日本のサイバーセキュリティー分野を代表する専門家の一人、EGセキュアソリューションズ・CTOの徳丸 浩さん。
徳丸さんに話を伺うと、学生事件の背景にある「コミュニティー」の実態と生成AIが果たした役割、そして「ホワイトハッカー論」が抱える現実的な矛盾が明らかになってきた。
EGセキュアソリューションズ株式会社
取締役 CTO
徳丸 浩さん(@ockeghem)
1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティーに興味を持つ。2004年同分野を事業化。08年に独立し、Webアプリケーションセキュリティーを専門分野とするHASHコンサルティング株式会社(現EGセキュアソリューションズ株式会社)を設立。脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティーの啓蒙活動を行っている。23年イー・ガーディアングループのCISOに就任。セキュリティーレベル向上だけでなく、活動を通して得たノウハウをサービスやセミナーコンテンツにも還元し、広くセキュリティーの啓蒙活動に邁進中
ーー2025年、学生による不正アクセス事件が相次ぎました。生成AIの悪用も報じられ、「サイバー犯罪の時代が変わった」という声もありますが、徳丸さんはどう受け止めていますか?
未成年、特に中学生や高校生が不正アクセスをしてしまうこと自体は、何も今に始まった話ではありません。私がこれまで見てきた事例でも、16〜17歳くらいの年齢層が関与するケースは、決して珍しくないです。
いつの時代にも、サイバーセキュリティーに関して早熟な子どもは一定数います。そうした子が、倫理観や心の成長が追いつかないまま悪いことをしてしまうというのは昔からありますし、今も変わりません。
ただその上で、昔と比べてコミュニティーの存在が悪目立ちするようになってきたと感じています。
ーーインターネット黎明期からアングラな掲示板などはありましたよね? 昔と比べて何が違うのでしょうか。
昔と違うのは、未成年の子たちがそうした「悪いコミュニティー」に、あまりに気楽にアクセスできてしまっている点です。おそらく日本語のコミュニティーも存在しているのでしょう。
そこで何が起きるかというと、ティーン特有の承認欲求が刺激されるんです。いわゆる「悪いこと自慢」ですね。「俺、こんなことしてやったんだぜ」と仲間内で自慢し合う。私自身も、今振り返れば恥ずかしくなるような若気の至りはたくさんありますが、そうした欲求がコミュニティーの中で増幅されてしまうわけです。
また今回のケースでは、単なる腕自慢で終わらず、それが「お金」につながってしまったわけですが、これもコミュニティーの影響が大きい。eSIMを不正に入手できたとして、普通の大人は中学生から回線なんて買いませんが、ブラックマーケットには買い手がいますからね。
ーーコミュニティーが身近になったことで、犯罪に手を染めやすくなっていると……。
今回の一連の事件に限って言えば、使われた手口はおそらく「パスワードリスト攻撃」でしょう。どこかからか流出したIDとパスワードのリストを入手し、それを使って別のサービスへのログインを大量に試みるものです。日本でも2013年頃から知られている、いわば枯れた攻撃手法になります。
一昔前は、IDとパスワードを入手するにはサイトに不正アクセスしてデータベースをハッキングする必要がありました。ですが現在、そうした情報はブラックマーケットで安価に流通してしまっています。
ですから子どもたちが、自分でハッキングして盗み出したとは限りません。おそらく、IDやパスワードの情報を不正に売買しているコミュニティーから入手したのではないでしょうか。
「悪いことを自慢したいコミュニティー」「IDなどの情報を売買するコミュニティー」、そして「それを買い取る大人のコミュニティー」。これらが繋がってしまい、未成年の子たちがそこに簡単に足を踏み入れられるエコシステムができた結果、起きてしまった事件だとみています。
ーー「生成AIの悪用」についてはどう見ていますか? 一部では「AIを使ったからできた」という声も見受けられますが。
今回は、パスワードリスト攻撃を効率よく実行するための一部に、生成AIが使われたと報じられています。パスワードリスト攻撃というのは数万〜数十万というリストを試すわけですから、手作業では限界があります。
そこで攻撃用のスクリプト(プログラム)を使うのですが、そのスクリプトの作成や改善に生成AIが利用された。また、不正ログインに成功した後、商品を注文するなどの一連の処理まで自動化していた形跡もあります。
ーー高度なハッキング技術をAIが代行したというよりは、既存の手口を効率化するためにAIが使われた?
実態としてはそうですね。「スクリプトキディ(※)」という言葉が昔からありますが、今回は文字通り、キディ(子供)の犯行です。
なぜ彼らをキディと呼ぶのか。答えは単純で「捕まっている」からです。
プロの犯罪者は、そう簡単には逮捕されません。日本の不正アクセス検挙例を見ると、目立つのはいつも未成年です。逆に言えば、プロの手口は捕まらないから表に出てこないし、詳細が分からない。
今回のように報道されている時点で、それは「捕まってしまうレベル」の犯行だったということです。
(※)自分では高度な技術や専門知識を持っていないにもかかわらず、インターネット上で公開されている他人が作成した攻撃ツールやスクリプトを悪用してサイバー攻撃を仕掛ける人のこと
ーーAIを用いた脅威は、まだ先の話だと?
「高度で洗練されているから、生成AIを用いた犯行に違いない」というケースは、今のところあまり見かけません。
高度で検知されないような攻撃コードは、まだまだ熟達したエンジニアによる「職人芸」の世界です。「とあるランサムウェアは作りが雑で未熟である」といった報道がなされることがありますが、それはつまり「きっと生成AIで作ったのだろう」という評価になります。
ただし、だからといって楽観視はできません。AIの進歩は非常に速い。最近では、人間のペネトレーションテスター10名とAIを競わせた実験で、AIが全体2位という結果を出した例もあります。つまり、プロ9人がAIに負けたということです。
CTFという競技がAIに終了させられた気がしている。もはや国内トッププレイヤーは完全にAIに負けている状態で、あとはどれだけ金があって確率を引けるか。世界トッププレイヤーが解ける超難問以外はもう誰がやっても同じ。Rev→Web→Crypto→Pwnの順で滅んで行っている気がする。
— Satoki@Kn0wl3dg3 (@satoki00) December 21, 2025
今回の事件は「スクリプトキディ」レベルでしたが、AIそのものは、すでにプロに迫る、あるいは追い越し始めている。そこは、はっきり認識しておく必要があります。
ーー未成年の検挙が報じられるたびに、SNSなどでは「才能を潰すのは惜しい」「彼らを更生させて、ホワイトハッカーとして国や企業が雇えばいいのではないか」という声が上がります。徳丸さんの意見はいかがでしょうか?
結論から言えば、全くもってナンセンスな話です。たしかにセキュリティー業界は人材不足ですが、その人たちを雇わなければならないほど困ってはいないのが正直なところです。
そもそもセキュリティーエンジニアという仕事において最も重要な資質は、技術力以上に「倫理観」と「コンプライアンス」です。
お客様の機密情報やシステムに触れる立場の人間が、一度でもやってはいけない一線を越えてしまった過去がある。企業として、あえてそのリスクを負ってまで雇用する合理的な理由がありません。
ーーしかし、アメリカでは「元ハッカーがFBIや大手企業に雇用されている」といった話もよく聞きますよね。
それは本物の天才に限った話です。 世界トップレベルの技術を持ち、代替不可能な才能があるなら、特例として隔離された環境で研究に従事させる……といったケースはあるかもしれません。
例えば、過去に日本でも「天才」と称された未成年のハッカーがいました。
彼は単なる技術力だけでなく、フィッシングで保守業者の情報を盗み、そこからクラウド基盤に入り込むといった、複数の手口を組み合わせる「総合力」が非常に高かった。私個人の印象としても、ハッキングの才能という意味では確かに秀でていたと思います。
しかし、日本の検挙事例を見ている限り、そこまでの才能を持ったケースは極めて稀です。それこそ一連の事件のように、既存のツールやAIを使って攻撃したレベルでは「天才」とは呼べません。
ーーそのような突出した才能であれば、ホワイトハッカーとしての道もあったのでしょうか?
いえ、それでも難しいでしょう。実際に彼がどこかのセキュリティー企業に「ホワイトハッカー」として雇用されたという話は聞きません。
どれほど攻撃の手口に長けていても、精神的な未熟さや再犯のリスク、そして社会的な信用を天秤にかければ、企業は「雇わない」という判断になります。
ましてや今回の事件のように、AIや既存のスクリプトを使って安易に攻撃を行った層を「才能がある」と勘違いしてはいけません。厳しい言い方になりますが、突出した才能を持った人間ですら採用されない業界で、ツールを使っただけの人間を特別扱いする理由はどこにもないのです。
ーー「攻撃ができる=すごい技術者」というイメージ自体が、少しズレているのかもしれませんね。
そうですね。ペネトレーションテストのような業務であっても、求められるのは「攻撃する力」だけではありません。手順を守り、リスクを管理し、お客様に論理的に説明する能力が不可欠です。
「悪いことをしたから更生させるために雇う」というのは、教育論としてはあり得ても、ビジネスの現場、特に信用の塊であるセキュリティー業界においては、現実的ではない議論だと言わざるをえません。
ーー低年齢層が事件を起こしやすくなっている今、正しいセキュリティー人材を育てるために社会や教育現場は何をすべきでしょうか?
あくまで一人の技術者としての意見ですが、個人的には「あまり早くから専門教育をしなくていい」と思っています。
サイバーセキュリティーを理解する上で、ツールの使い方や特定のプログラミング言語を早くから覚える必要はそこまでありません。なぜなら、ツールや言語といった技術トレンドは、5年もすれば廃れてしまうからです。
今、必死に覚えた最新のハッキングツールも、彼らが社会に出る頃には「昔そんなものがあったね」という遺物になっている可能性が高い。
ーー確かに、技術の陳腐化は早いです。では、代わりに何を身につけるべきだとお考えですか?
私は昔から「読み書きそろばん」だと言っています。現代で言えば、「国語・数学・英語」の基礎学力です。
日本で高度なサイバーセキュリティー教育を受けようと思えば、現実的には偏差値の高い大学の研究室に行くことになります。そこで求められるのは、プログラミングの実技ではなく、数学や英語、そして論理的思考力を問う科目ですよね。私はその仕組みでいいと思っているんです。
まずは基礎を固め、そこから論理的思考力を養う。セキュリティーの専門教育は、大学3年生(19〜20歳)くらいから始めても全く遅くありません。基礎さえしっかりしていれば、専門知識は後からいくらでも積み上げられます。
逆に、基礎がないままツールの使い方だけを覚えたとしても、それは応用が効かない「作業員」で終わってしまいます。
ーー現代のエンジニアにとって、生成AIは既に避けては通れないツールです。基礎力を落とさずに成長していくために、私たちはAIとどう付き合っていくべきなのでしょうか。
おっしゃる通りAIは活用すべきですが、付き合い方を間違えてAIに頼り切ると、逆に能力が落ちてしまう危険性があります。
私は将棋を見るのが好きなのですが、将棋界でも「AI研究で強くなった」という棋士がいる一方で、「AIに頼ると弱くなる」という声も聞かれます。AIが正解を出してくれるからと、自分で考える組み立てをしなくなるからです。
最近、新しくプロ(四段)になった棋士のプロフィールを見ていると、意外と「私はAIを使いません」「あえて自力で考えます」という人が結構いるんですよ。これはエンジニアの成長にとっても、重要なヒントだと思います。
ーーあえて自力でやることで、基礎となる「地肩」を作るわけですね。
ええ。エンジニアで言えば、「ゼロからコードを書く能力」を失ってはいけないということです。
AIにコードを書かせるのは簡単ですが、そのコードが正しいか、脆弱性がないかを判断するレビューは人間がやらなければなりません。AIは責任を取ることができませんからね。しかし、自分でゼロから書いた経験がない人に、適切なレビューができるでしょうか?
流行りのツールに飛びつくのではなく、地道に基礎力を磨く必要がある。若手エンジニアの方はもちろん、社会全体がその認識を強く持つことが大切だと思います。
取材・文/今中康達(編集部)
タグ
