2025年に相次いだ、学生による不正アクセス事件。回線の不正契約や会員情報の大量取得といった行為は、単なる「いたずら」では済まされない被害を生んだ。いずれも未成年による犯行とされ、生成AIが一部で使われていた点も大きな注目を集めた。
それでも事件が報じられるたび、SNSでは「才能ある若者を犯罪者として終わらせるべきではない」
「ホワイトハッカーとして育てる道があるのではないか」といった、ある種の“善意の議論”も活発化している。
この議論は、本当に現場の実態を踏まえたものなのだろうか。今回その疑問をぶつけたのは、日本のサイバーセキュリティー分野を代表する専門家の一人、EGセキュアソリューションズ・CTOの徳丸 浩さん。
徳丸さんに話を伺うと、学生事件の背景にある「コミュニティー」の実態と生成AIが果たした役割、そして「ホワイトハッカー論」が抱える現実的な矛盾が明らかになってきた。
EGセキュアソリューションズ株式会社
取締役 CTO
徳丸 浩さん(@ockeghem)
1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティーに興味を持つ。2004年同分野を事業化。08年に独立し、Webアプリケーションセキュリティーを専門分野とするHASHコンサルティング株式会社(現EGセキュアソリューションズ株式会社)を設立。脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティーの啓蒙活動を行っている。23年イー・ガーディアングループのCISOに就任。セキュリティーレベル向上だけでなく、活動を通して得たノウハウをサービスやセミナーコンテンツにも還元し、広くセキュリティーの啓蒙活動に邁進中
ーー2025年、学生による不正アクセス事件が相次ぎました。生成AIの悪用も報じられ、「サイバー犯罪の時代が変わった」という声もありますが、徳丸さんはどう受け止めていますか?
未成年、特に中学生や高校生が不正アクセスをしてしまうこと自体は、何も今に始まった話ではありません。私がこれまで見てきた事例でも、16〜17歳くらいの年齢層が関与するケースは、決して珍しくないです。
いつの時代にも、サイバーセキュリティーに関して早熟な子どもは一定数います。そうした子が、倫理観や心の成長が追いつかないまま悪いことをしてしまうというのは昔からありますし、今も変わりません。
ただその上で、昔と比べてコミュニティーの存在が悪目立ちするようになってきたと感じています。
ーーインターネット黎明期からアングラな掲示板などはありましたよね? 昔と比べて何が違うのでしょうか。
昔と違うのは、未成年の子たちがそうした「悪いコミュニティー」に、あまりに気楽にアクセスできてしまっている点です。おそらく日本語のコミュニティーも存在しているのでしょう。
そこで何が起きるかというと、ティーン特有の承認欲求が刺激されるんです。いわゆる「悪いこと自慢」ですね。「俺、こんなことしてやったんだぜ」と仲間内で自慢し合う。私自身も、今振り返れば恥ずかしくなるような若気の至りはたくさんありますが、そうした欲求がコミュニティーの中で増幅されてしまうわけです。
また今回のケースでは、単なる腕自慢で終わらず、それが「お金」につながってしまったわけですが、これもコミュニティーの影響が大きい。eSIMを不正に入手できたとして、普通の大人は中学生から回線なんて買いませんが、ブラックマーケットには買い手がいますからね。
ーーコミュニティーが身近になったことで、犯罪に手を染めやすくなっていると……。
今回の一連の事件に限って言えば、使われた手口はおそらく「パスワードリスト攻撃」でしょう。どこかからか流出したIDとパスワードのリストを入手し、それを使って別のサービスへのログインを大量に試みるものです。日本でも2013年頃から知られている、いわば枯れた攻撃手法になります。
一昔前は、IDとパスワードを入手するにはサイトに不正アクセスしてデータベースをハッキングする必要がありました。ですが現在、そうした情報はブラックマーケットで安価に流通してしまっています。
ですから子どもたちが、自分でハッキングして盗み出したとは限りません。おそらく、IDやパスワードの情報を不正に売買しているコミュニティーから入手したのではないでしょうか。
「悪いことを自慢したいコミュニティー」「IDなどの情報を売買するコミュニティー」、そして「それを買い取る大人のコミュニティー」。これらが繋がってしまい、未成年の子たちがそこに簡単に足を踏み入れられるエコシステムができた結果、起きてしまった事件だとみています。
ーー「生成AIの悪用」についてはどう見ていますか? 一部では「AIを使ったからできた」という声も見受けられますが。
今回は、パスワードリスト攻撃を効率よく実行するための一部に、生成AIが使われたと報じられています。パスワードリスト攻撃というのは数万〜数十万というリストを試すわけですから、手作業では限界があります。
そこで攻撃用のスクリプト(プログラム)を使うのですが、そのスクリプトの作成や改善に生成AIが利用された。また、不正ログインに成功した後、商品を注文するなどの一連の処理まで自動化していた形跡もあります。
ーー高度なハッキング技術をAIが代行したというよりは、既存の手口を効率化するためにAIが使われた?
実態としてはそうですね。「スクリプトキディ(※)」という言葉が昔からありますが、今回は文字通り、キディ(子供)の犯行です。
なぜ彼らをキディと呼ぶのか。答えは単純で「捕まっている」からです。
プロの犯罪者は、そう簡単には逮捕されません。日本の不正アクセス検挙例を見ると、目立つのはいつも未成年です。逆に言えば、プロの手口は捕まらないから表に出てこないし、詳細が分からない。
今回のように報道されている時点で、それは「捕まってしまうレベル」の犯行だったということです。
(※)自分では高度な技術や専門知識を持っていないにもかかわらず、インターネット上で公開されている他人が作成した攻撃ツールやスクリプトを悪用してサイバー攻撃を仕掛ける人のこと
ーーAIを用いた脅威は、まだ先の話だと?
「高度で洗練されているから、生成AIを用いた犯行に違いない」というケースは、今のところあまり見かけません。
高度で検知されないような攻撃コードは、まだまだ熟達したエンジニアによる「職人芸」の世界です。「とあるランサムウェアは作りが雑で未熟である」といった報道がなされることがありますが、それはつまり「きっと生成AIで作ったのだろう」という評価になります。
ただし、だからといって楽観視はできません。AIの進歩は非常に速い。最近では、人間のペネトレーションテスター10名とAIを競わせた実験で、AIが全体2位という結果を出した例もあります。つまり、プロ9人がAIに負けたということです。
CTFという競技がAIに終了させられた気がしている。もはや国内トッププレイヤーは完全にAIに負けている状態で、あとはどれだけ金があって確率を引けるか。世界トッププレイヤーが解ける超難問以外はもう誰がやっても同じ。Rev→Web→Crypto→Pwnの順で滅んで行っている気がする。
— Satoki@Kn0wl3dg3 (@satoki00) December 21, 2025
今回の事件は「スクリプトキディ」レベルでしたが、AIそのものは、すでにプロに迫る、あるいは追い越し始めている。そこは、はっきり認識しておく必要があります。
ーー未成年の検挙が報じられるたびに、SNSなどでは「才能を潰すのは惜しい」「彼らを更生させて、ホワイトハッカーとして国や企業が雇えばいいのではないか」という声が上がります。徳丸さんの意見はいかがでしょうか?
結論から言えば、全くもってナンセンスな話です。たしかにセキュリティー業界は人材不足ですが、その人たちを雇わなければならないほど困ってはいないのが正直なところです。
そもそもセキュリティーエンジニアという仕事において最も重要な資質は、技術力以上に「倫理観」と「コンプライアンス」です。
お客様の機密情報やシステムに触れる立場の人間が、一度でもやってはいけない一線を越えてしまった過去がある。企業として、あえてそのリスクを負ってまで雇用する合理的な理由がありません。
ーーしかし、アメリカでは「元ハッカーがFBIや大手企業に雇用されている」といった話もよく聞きますよね。
それは本物の天才に限った話です。 世界トップレベルの技術を持ち、代替不可能な才能があるなら、特例として隔離された環境で研究に従事させる……といったケースはあるかもしれません。
例えば、過去に日本でも「天才」と称された未成年のハッカーがいました。
ITエンジニア向けスカウト転職サービス
に登録すると続きをお読みいただけます。会員登録後、画面が自動で更新されます。
取材・文/今中康達(編集部)
タグ
