生成AIで自作したフィッシングサイトで不正アクセスした未成年2人を逮捕-口座不正送金で計1300万円超か|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2025年10月28日更新日時: 2025年10月28日

生成AIで自作したフィッシングサイトを悪用した未成年2人を逮捕-口座不正送金で計1300万円超か

千葉県警は2025年10月27日、生成AIを使って作成した疑いのあるフィッシングサイトで利用者を誘導し、インターネットバンキングに不正アクセスして現金をだまし取ったとして、千葉県の無職少年（17）と大阪府の無職少年（18）を不正アクセス禁止法違反などの疑いで逮捕しました。

捜査関係者によりますと、2人はSNS「X」を起点に被害者を集め、得た認証情報を用いて他人名義の口座から不正送金を繰り返していたとみられます。確認済みの被害は少なくとも50万円ですが、同様の手口で総額1300万円以上を詐取した可能性があるとして、警察が全容解明を進めています。

1 事件の概要
2 過去の未成年関与事件との接点
3 浮かび上がる共通手口—低年齢化×生成AI×ソーシャルエンジニアリング
4 個人が取るべき対策

事件の概要

捜査関係者の説明では、千葉の少年（17）はXで「アイドルのコンサート同行者募集」などと投稿。連絡してきた相手に対し、「チケット代の送金ミス防止のため、電子マネーで1円を送るので受け取ってほしい」と持ちかけ、電子マネーの受け取り画面を装った偽サイトを開かせ、パスワード等の情報入力を促したとされています。収集したID・パスワード等で被害者のネットバンキングに不正ログインし、資金を大阪の少年（18）名義の口座などへ送金した疑いです。

フィッシングサイトは、プログラミング経験のない千葉の少年が「海外の生成AI」を用いて作成したとみられ、生成AIが犯罪の技術的ハードルを下げた典型例と捜査当局は見ています。警察は不正アクセスの実行役・資金受け取り役など役割分担の有無や、背後に組織的関与がなかったかも含めて調べを進めています。

過去の未成年関与事件との接点

同種の未成年関与による不正アクセス事案は近年相次いでいます。

楽天モバイルの利用者アカウントが不正契約に悪用された一連の事件で、警視庁が2024年、長野県松本市の高校2年生（16）を不正アクセス禁止法違反容疑で逮捕。16歳は匿名性の高いSNSや通信アプリ上で約2000件の他人ID・パスワードを収集・提供していたとみられ、別の17歳らがこれらの認証情報を用いて他人になりすまし、少なくとも約100回線を不正契約して転売、100万円超の利益を得た疑いが持たれました。

関係者の証言には、生成AIを活用して大量ログインを自動化するツール化を図った趣旨の供述も含まれていました。

この一連の不正契約事件では、インターネット上で活動する「荒らし共栄圏」と称するグループの関与が指摘され、ウェブサイト改ざんなどの“愉快犯”にとどまらず、資格なりすましと転売による利得化まで踏み込んでいた構図が浮かび上がりました。

2025年8月には、総務省が楽天モバイルに対し、事案対応に関する報告遅延等を理由に厳重注意を実施しています。

浮かび上がる共通手口—低年齢化×生成AI×ソーシャルエンジニアリング

今回の口座不正送金事件と、過去の不正契約事件には、いくつかの共通点が見られます。

低年齢化と役割分担：未成年の段階から、収集役・実行役・受け皿口座（いわゆる受け子）などの分業体制が成立。SNSやメッセージアプリで緩やかにつながることで、実名や実在関係を隠したまま役割が回る。
生成AIによるサイバー攻撃のハードル低下：プログラミング未経験でも、生成AIを介してフィッシングページ作成や自動化スクリプトの雛形を容易に得られる。道具立ての入手が簡単になり、犯行準備の心理的・技術的障壁が下がっている。
ソーシャルエンジニアリングの巧妙化：Xでの同行者募集や「1円送金」名目など、違和感の薄い日常のやりとりに見せかける誘導で、被害者自らが情報を入力する仕掛けを採用。