快活CLUBへの不正アクセスで新たに18歳の会社員を逮捕-729万件の情報流出とDiscordでつながった容疑者たちの全貌

セキュリティニュース

投稿日時: 更新日時:

快活CLUBへの不正アクセスで新たに18歳の会社員を逮捕-729万件の情報流出とDiscordでつながった容疑者たちの全貌

インターネットカフェ「快活CLUB」を運営する株式会社快活フロンティアへの不正アクセス事件で、警視庁は2026年7月8日、東京都葛飾区の会社員の男(18)を不正アクセス禁止法違反および偽計業務妨害の疑いで逮捕しました。

この事件では2025年1月の発覚以降、最大729万件の会員情報流出の可能性が発表され、同年12月には当時高校2年だった男子生徒が逮捕、2026年5月には19歳の男が書類送検されており、今回で3人目の刑事処分となります。当サイトではこの事件について、不正アクセスの発覚から約720万件規模への漏洩拡大調査完了と再発防止策生成AIを悪用した高校生の再逮捕まで継続して報じてきましたが、今回の新たな逮捕を機に、事件の全体像を時系列で整理します。

サマリー

  • 快活フロンティアは2025年1月18日夕刻、サーバーへの不正アクセスを検知し、同月28日には最終的に7,290,087件の会員情報に漏洩の可能性があると発表した
  • 同社は2025年3月17日、外部専門家の協力による調査完了と再発防止策(不正アクセスの影響を受けたプログラムの改修、セキュリティ対策ソフトの導入、監視体制の強化等)を発表している
  • 2025年12月、大阪市平野区在住で当時高校2年だった男子生徒(18)が警視庁に逮捕され、その後家庭裁判所へ送致された。生徒は対話型生成AIを悪用して会員情報を通信端末へ取り込むプログラムを開発し、他のメンバーと共有していたとされる
  • 2026年5月、東京都練馬区の無職の男(19)が偽計業務妨害の疑いで東京地検に書類送検された
  • 2026年7月8日、東京都葛飾区の会社員の男(18)が不正アクセス禁止法違反および偽計業務妨害の疑いで新たに逮捕された。警視庁は、SNS上でつながった男らのグループがそれぞれ攻撃を行い、盗み取った会員情報計約725万件のうち、この男が約300万件分を集めたとみている
  • 捜査関係者によると、この男は仲間と共謀し2025年1月18日から20日にかけて、快活フロンティアが管理する公式アプリのサーバーへ183回不正アクセスし、会員情報を盗むプログラムを実行してアプリのサービスを一部停止させるなどしたとされる。取り調べに対しては「183回もやった記憶はない」と容疑を一部否認している
  • 3人はいずれも、ゲーム愛好家が集まるSNS「Discord」の同じグループでつながっており、このグループには小学6年生も参加していたという
日付 出来事
2025年1月18日 サーバーへの不正アクセスを検知、ネットワークを切り離し
2025年1月20日 快活CLUBアプリを管理するサーバーへDDoS攻撃、アプリ機能を会員証表示のみに制限
2025年1月21日 会員の個人情報漏洩の可能性を第一報として発表
2025年1月28日 続報で7,290,087件の個人情報漏洩の可能性を発表
2025年3月17日 調査完了と再発防止策を発表
2025年12月 大阪市平野区の男子生徒(当時高校2年、18)を警視庁が逮捕、家裁送致
2026年5月 東京都練馬区の無職の男(19)を偽計業務妨害容疑で東京地検へ書類送検
2026年7月8日 東京都葛飾区の会社員の男(18)を不正アクセス禁止法違反・偽計業務妨害容疑で逮捕

何が起きたか-2025年1月の不正アクセス発覚から720万件超の漏洩まで

株式会社快活フロンティアは2025年1月18日(土)夕刻、サーバーに対する不正アクセスを検知し、直ちにサーバーからネットワークを切り離す対応を取りました。翌20日には快活CLUBアプリを管理するサーバーへDDoS攻撃も発生し、アプリの機能は会員証の表示のみに制限されています。同社は第三者機関(外部セキュリティ専門家)の助言を受けながら影響範囲の調査を進め、会員アカウントを管理するシステムへの不正アクセスの痕跡を確認、1月21日に個人情報漏洩の可能性を第一報として公表しました。

その後の調査で被害範囲はさらに拡大し、1月28日の続報では7,290,087件の会員情報に漏洩の可能性があることが明らかになっています。快活CLUBは親会社であるAOKIホールディングスの連結子会社が運営するサービスであり、上場企業グループの子会社における大規模な情報漏洩事案として大きな注目を集めました。同社は2025年3月17日、調査完了と再発防止策を発表し、不正アクセスの影響を受けたプログラムの改修、新たなセキュリティ対策ソフトの導入とパッチ適用、Webサイトの不正アクセス監視・検知時のブロック強化、パスワードポリシーの強化、多層防御によるセキュリティ対策の実施を明らかにしています。

高校生の逮捕とDiscordでつながった容疑者たち

事件の発覚から約11カ月後の2025年12月、大阪市平野区在住で当時高校2年だった男子生徒(18)が警視庁に逮捕されました。報道によれば、この生徒は快活フロンティアが管理する公式アプリのサーバーに対し自身の端末から不正アクセスを実行したとされ、不正アクセス禁止法違反および偽計業務妨害の容疑がかけられています。生徒はオンラインコミュニケーションサービスDiscord上で快活CLUBへの攻撃を予告したり、実行の様子を実況したりしていたとも報じられており、サイバー犯罪に関心を持つ若年層の間では以前から知られた存在だったとされています。逮捕後、生徒は家庭裁判所へ送致されました。

この生徒の逮捕にとどまらず、事件は複数の容疑者による組織的な関与が明らかになっていきます。2026年5月には、東京都練馬区在住の無職の男(19)が偽計業務妨害の疑いで東京地方検察庁に書類送検されました。そして今回、2026年7月8日には東京都葛飾区在住の会社員の男(18)が新たに逮捕されています。警視庁の見立てによれば、これら3人はいずれもゲーム愛好家が集まるDiscordの同じグループでつながっており、このグループには小学6年生も参加していたとされています。SNSを通じてつながった年齢も立場も異なる複数の人物が、それぞれ別々に攻撃を実行しながら緩やかに連携していたという構図が、この事件の特徴です。

新たに逮捕された18歳-183回の不正アクセスと約300万件の収集

今回逮捕された会社員の男(18)について、警視庁は、グループ全体で盗み取った会員情報計約725万件のうち、この男が約300万件分を集めたとみています。捜査関係者によると、男は仲間と共謀し、2025年1月18日から20日にかけて、快活フロンティアが管理する公式アプリのサーバーへ183回にわたり不正アクセスし、会員情報を盗み取るプログラムを実行、アプリのサービスを一部停止させる対応を同社に取らせるなどして業務を妨害した疑いが持たれています。取り調べに対して男は「183回もやった記憶はない」と述べ、容疑の一部を否認しているとされています。

この逮捕容疑の期間は、快活フロンティアが最初に不正アクセスを検知した2025年1月18日から、DDoS攻撃が確認された同月20日までとほぼ重なっており、事件発生直後の初期段階における実行者の一人として、この男が位置づけられていることがうかがえます。

生成AIを悪用したプログラム開発という手口

当サイトで既報の通り、この事件で特に注目されているのが、逮捕された高校生が会員情報を通信端末へ取り込むプログラムを、対話型生成AIを悪用して開発し、他のメンバーと共有していたとされる点です。プログラミングの専門的な訓練を受けていない若年層であっても、生成AIを使うことで攻撃コードの開発が可能になっている実態は、当サイトでもたびたび取り上げてきた、生成AIによる攻撃の敷居の低下という問題の具体例です。今回新たに逮捕された18歳の男も含め、複数の実行者がそれぞれ個別に、あるいは共有されたプログラムを使って183回もの不正アクセスを積み重ねられた背景には、こうした技術的なハードルの低下があったと考えられます。

情報システム部門への示唆

快活CLUBの事件は、発覚から1年半が経過した現在も新たな逮捕者が出ており、被害の全容解明と刑事責任の追及が長期にわたって続いていることを示しています。自社が同種の会員制サービスやアプリを運営している場合、今回のように公式アプリのサーバーへ短期間に183回もの不正アクセスが行われたという事実を踏まえ、同一アカウントや同一IPアドレスからの異常な頻度でのアクセス試行を検知し、自動的にブロックまたはアラートを発報する仕組みが備わっているかを再確認することをお勧めします。

また、今回の事件がSNS上でつながった複数の人物による緩やかな連携によって実行されていた点も見過ごせません。愛好家コミュニティを装った場が、若年層を含む攻撃実行者の勧誘・情報共有の場として機能してしまうリスクは、特定の企業や業界に限らず存在します。自社のインシデント対応体制において、単発の攻撃者を想定するだけでなく、複数の実行者が並行して攻撃を仕掛けてくる可能性も念頭に置いた監視・分析体制を検討することをお勧めします。快活フロンティアが2025年3月に公表した再発防止策(監視体制の強化、多層防御の導入等)も、同種のサービスを運営する企業にとって参考になる対応の一例です。

出典