警視庁サイバー犯罪対策課は2026年7月6日までに、動画配信サービスのバンダイチャンネルを運営するバンダイナムコフィルムワークスに対する偽計業務妨害の疑いで、埼玉県所沢市に住む高校1年の男子生徒(15)を逮捕しました。当サイトでは2025年11月から12月にかけて、バンダイチャンネルのサービス一時停止と会員情報漏えいの可能性、そして最大136.6万件規模の個人情報漏えいの恐れとサービス再開まで、一連の経緯を継続して報じてきましたが、今回の逮捕によって、この事件が当時中学生だった少年による犯行であり、対話型生成AIのChatGPTを使って自作の攻撃プログラムを完成させていたことが明らかになりました。
サマリー
- 警視庁サイバー犯罪対策課は2026年7月4日、バンダイチャンネルの運営会社であるバンダイナムコフィルムワークスの業務を妨害した疑いで、埼玉県所沢市在住の高校1年の男子生徒(15)を偽計業務妨害容疑で逮捕した
- 逮捕容疑は、2025年11月4日17時ごろから20時46分ごろにかけて、自宅のパソコンから同社が管理するデータベースサーバーへ虚偽の情報を送信し、4万6,812アカウントを本人の意図に反して退会処理させ、同社にサービスを一時停止させるなどして業務を妨害したというもの
- 事件当時、少年は中学3年生(14歳)で、小学4年生ごろから独学でプログラミングを学んでおり、同サービスの通信内容を解析する中でシステムの脆弱性を発見し、対話型生成AIのChatGPTを使って自作の不正プログラムをより高度なものに完成させ、悪用したとされている
- 少年は容疑を認めており、報道によれば、会社への恨みはなく、独学で身につけた情報処理の能力を生かして通信内容を解析することが趣味だったという趣旨の供述をしている
- 警視庁は2026年6月にも、他人のアカウントを使ってサービスにログインしたとして不正アクセス禁止法違反の疑いで少年を逮捕しており、今回は同一事件に関する2度目の逮捕にあたる
- バンダイナムコフィルムワークスは2025年11月6日にサービスを緊急停止し、同19日に会員情報漏えいの可能性を公表、外部専門機関の調査を経て同年12月19日にサービスを再開しており、影響を受けた会員への返金対応なども行っている
| 項目 | 内容 |
|---|---|
| 逮捕日 | 2026年7月4日(発表は7月6日) |
| 逮捕容疑 | 偽計業務妨害 |
| 逮捕された人物 | 埼玉県所沢市在住、高校1年の男子生徒(15、事件当時は中学3年・14歳) |
| 容疑の内容 | 2025年11月4日17時ごろ〜20時46分ごろ、虚偽情報の送信により4万6,812アカウントを無断で退会処理し、サービス一時停止に追い込んで業務を妨害 |
| 攻撃の手口 | 通信内容の解析によるシステム脆弱性の発見、対話型生成AI(ChatGPT)を用いた不正プログラムの高度化 |
| 過去の関連逮捕 | 2026年6月、不正アクセス禁止法違反容疑で逮捕済み(他人のアカウントでのログイン) |
| 会社側の対応 | 2025年11月6日サービス緊急停止、11月19日情報漏えいの可能性公表、12月19日サービス再開 |
目次
何が起きたか
今回の逮捕容疑は、2025年11月4日17時ごろから20時46分ごろにかけて、少年が自宅のパソコンからインターネットを通じてバンダイナムコフィルムワークスが管理するデータベースサーバーへ虚偽の情報を送信し、4万6,812のアカウントを登録者本人の意図に反して退会処理させたというものです。
この結果、バンダイチャンネルでは一部会員が意図せず退会状態になる障害が発生し、同社は11月6日にサービスを緊急停止せざるを得なくなりました。当サイトでも既報の通り、同社はその後11月19日に、不正アクセスにより会員の個人情報が漏えいした可能性があると公表し、外部専門機関の協力を得た調査を経て、2025年12月19日にサービスを再開しています。今回の逮捕は、この一連の経緯の発端となった攻撃を実行した人物が特定され、刑事事件として立件されたことを意味します。
報道によれば、少年は事件発生後の2025年11月に会社側が警視庁へ相談したことを端緒に、通信記録などの捜査を経て浮上したとされています。捜査を進める中で警視庁は2026年6月、少年が他人のアカウントを使ってバンダイチャンネルにログインしていたとして、不正アクセス禁止法違反の疑いでまず逮捕しました。そして今回、同じ一連の事件について、業務妨害の実行行為そのものを問う偽計業務妨害の疑いで7月4日に逮捕し、7月6日までに発表されています。少年は容疑を認めているとされています。
少年の手口-通信解析で見つけた脆弱性と生成AIによる攻撃プログラムの完成
今回の事件で特に注目すべきなのは、少年が犯行に使った不正プログラムを、対話型生成AIのChatGPTを使って完成させたとされている点です。
報道によると、少年は小学4年生ごろからプログラミングの技術を独学で学び始め、事件当時は中学3年生でした。バンダイチャンネルの通信内容を自ら解析する中でシステムの脆弱性を見つけ、そこにつけ込む不正プログラムを自作したうえで、生成AIを使ってこのプログラムをより高度なものに仕上げ、大量のアカウントを退会処理させる攻撃を実行したとみられています。
この経緯から読み取れるのは、対象システムの通信を解析して脆弱性を見つけ出すという、決して簡単ではない工程を少年が独力でこなしていた一方で、見つけた脆弱性を実際に攻撃として成立させ、しかも4万6千件を超える規模で実行するところまで持っていく部分において、生成AIが実質的な後押しになっていた可能性がある、という点です。
通信を解析して脆弱性の存在に気づくところまでは、根気と一定の技術力があれば独学でも到達できる領域です。
しかし、そこから安定して動作する攻撃コードに落とし込み、対象のバリデーション処理を継続的にすり抜けながら数万件規模の処理を実行するところまでは、通常はより高い実装力を要します。生成AIがこの後半部分の実装を支援できるのだとすれば、脆弱性発見の能力さえあれば年齢や経験を問わず攻撃を実行できてしまう状況が生まれつつあるということであり、これは看過できない変化だと感じています。
バンダイチャンネル側が受けた被害と対応
被害を受けた企業側の対応は、当サイトでこれまで報じてきた内容の通りです。バンダイナムコフィルムワークスは2025年11月6日23時30分、意図しない退会処理の発生を受けて緊急措置としてバンダイチャンネルの全サービスを停止しました。その後同月19日には、不正アクセスにより会員の個人情報が漏えいした可能性があると公表し、ログインパスワードやクレジットカード番号など決済に悪用可能な情報は含まれていないこと、ランサムウェアによる被害ではないことなどを説明しています。外部専門機関の協力を得た調査とシステムの安全性向上、再発防止策の実施を経て、2025年12月19日12時にサービスを再開し、個人情報保護委員会にも確報を提出しています。約1カ月半にわたるサービス停止の影響で、対象となった会員への返金対応も必要になったと報じられています。今回の逮捕によって、この一連の対応の起点にあった攻撃の全容が、刑事事件としても裏付けられた形です。
原因はなぜ未成年でもここまでの攻撃が可能だったのか
今回のケースを一つの事例として捉えると、攻撃者の年齢や経歴にかかわらず、生成AIの存在が攻撃実行の敷居を下げているという、より広い文脈の中に位置づけて考える必要があります。
当サイトでは以前、Langflowの脆弱性を起点にエージェント型AIが自律的にランサムウェア攻撃を実行した事例を取り上げましたが、あちらは組織立ったサイバー犯罪者による高度な事例である一方、今回は独学でプログラミングを学んだ未成年が、生成AIを補助的なツールとして使い攻撃を成立させたケースです。攻撃者の技術的な背景や組織の有無を問わず、生成AIが実装面での不足を補ってしまう場面が現実に増えているということを、この2つの事例は共通して示していると思います。
情報システム部門への示唆
今回の事件から得られる教訓は、大きく3つに整理できると考えています。1つ目は、自社のサービスに脆弱性診断制度やバグバウンティ制度、あるいは単純な脆弱性報告窓口を用意しているかどうかの再点検です。技術的な関心を持つ人物が偶然にせよ意図的にせよ脆弱性を見つけた際に、それを正規のルートで報告できる仕組みがあれば、今回のような形での実害化を防げた可能性があります。2つ目は、退会処理やアカウント削除といった、本来は利用者本人の意思確認を伴うべき機能について、大量かつ短時間での実行を検知・制限する仕組みが備わっているかの確認です。今回の攻撃は約4時間弱の間に4万6千件を超える処理を成立させており、こうした異常な処理件数やリクエスト頻度を検知して自動的にブロックまたは人手による確認を挟む仕組みがあれば、被害の規模を抑えられた可能性があります。3つ目は、通信記録などのログを十分な期間保持しておくことの重要性です。今回、警視庁が犯人を特定できた背景には、通信記録の捜査があったとされており、平時からのログ保持体制が、インシデント発生後の原因究明や捜査協力の土台になることを改めて示す事例だといえます。生成AIの登場により攻撃実行の技術的なハードルが下がりつつある今、脆弱性そのものを作り込まない開発体制と、脆弱性が見つかった場合に正規のルートで報告してもらえる窓口づくりの両方を、あらためて見直す機会にしていただければと思います。
出典
- バンダイチャンネル4万人退会操作か、15歳逮捕 AI使いサイバー攻撃 – 日本経済新聞
- 自作プログラムでサイバー攻撃か 15歳高校生逮捕 – NHK
- 「バンダイチャンネル」運営会社にサイバー攻撃、4万6800人を勝手に退会させた疑いで高1男子逮捕 – 読売新聞オンライン
- 4.6万アカウントを退会処理=「バンダイチャンネル」、無断で―偽計業務妨害容疑で高1逮捕・警視庁 – 時事通信ニュース
- バンダイチャンネルがサービスを一時停止-不正アクセスの疑いで緊急措置 – セキュリティ対策Lab
- バンダイチャンネル、不正アクセスによるサイバー攻撃で一部会員の個人情報漏洩の恐れ – セキュリティ対策Lab
- バンダイチャンネル、不正アクセスによるサイバー攻撃で最大136.6万件の個人情報漏洩の恐れ – セキュリティ対策Lab
- 初の完全自律型ランサムウェア攻撃JADEPUFFER、LangflowのRCE脆弱性からNacos設定の全滅まで人手を介さず実行 – セキュリティ対策Lab








