1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. ハッカー集団・脅威アクターに関する動向
  5. 生成AIを悪用して「快活CLUB」に不正アクセスした高2男子が再逮捕

生成AIを悪用して「快活CLUB」に不正アクセスした高2男子が再逮捕

セキュリティニュース

投稿日時: 更新日時:

生成AIを悪用して「快活CLUB」に不正アクセスした高2男子が再逮捕

インターネットカフェ「快活CLUB」の会員システムにサイバー攻撃を仕掛け、約725万件に及ぶ会員情報を不正に取得した疑いで、警視庁が大阪市平野区の高校2年の男子生徒(17)の再逮捕方針を固めたと報じられています。
捜査当局は、男子生徒が自作したプログラムの改良に対話型の生成AIを悪用し、公式アプリのサーバーに不正アクセスしていたとみて調べています。

関連:AIや生成AIの悪用事例や事件を解説

公式アプリのサーバーに不正アクセス、サービス一部停止に追い込む

報道によると、男子生徒は2025年1月18日〜20日にかけて、快活CLUBを運営する「快活フロンティア」(横浜市)が管理する公式アプリのサーバーに対し、自身の端末から不正アクセスを実行したとされています。

この際、

  • 会員情報を自分の端末側に取り込むためのプログラムを自作

  • 不正な通信を繰り返すことでサーバーに負荷をかけ

  • 公式アプリの一部サービス停止など、業務に支障を生じさせた

とみられており、不正アクセス禁止法違反および偽計業務妨害の容疑がかけられています。現時点では、不正取得された会員情報が実際に悪用された事実は確認されていないとされています。

男子生徒は、オンラインコミュニケーションサービス「Discord(ディスコード)」上で、快活CLUBへの攻撃を予告したり、実行の様子を実況したりしていたとも報じられており、サイバー犯罪に関心のある若年層の間では以前から知られた存在だったようです。

生成AIで自作プログラムをチューニングか

男子生徒は小学生の頃から独学でプログラミングを学び、サイバーセキュリティのコンテストで入賞経験もあるとされています。
今回の事件では、こうした技術力に加え、「生成AIをどう悪用するか」という視点が組み合わさっていました。

報道によれば、男子生徒は

  • 会員情報を自動取得する自作プログラムを作成

  • システムの防御をかいくぐる方法

  • 不正アクセス中にエラーが出た場合の対処方法

などについて、対話型のAIサービスに直接「攻撃」目的とはわからない聞き方で質問を繰り返し、回答をヒントにコードの機能を改善していったとされています。

最近の生成AIは、不正行為に関する質問には回答を制限する仕組み(ガードレール)が備わっていますが、「テスト」「セキュリティ検証」「パフォーマンス改善」などの言い回しに置き換えることで、攻撃にも転用できるテクニックを引き出してしまうケースが指摘されています。今回も、そうした抜け道を突いた形でAIが悪用された疑いがあります。

先に逮捕されたクレカ不正利用事件とのつながり

この高校生は、2024年5月ごろ、他人名義のクレジットカード情報を使ってポケモンカードなどの商品をネット通販サイトで不正購入した疑いで、2025年11月に窃盗容疑で逮捕されていました。

取り調べでは

  • 「サイトの脆弱性を見つけたかった」

  • 「カードの不正利用を研究したかった」

などと供述していたとしています

今回のサイバー攻撃の端緒も、別件で捜査されていた楽天モバイルの通信回線不正契約事件に絡む少年グループの捜査から発覚したとされています。サイバー系の不正の世界では、Discordなどオンラインコミュニティを通じて未成年同士がゆるくつながり、手口やツールが共有されていく実態があるとみられます。

快活CLUBの個人情報流出疑い:約729万件が影響

今回の高校生による不正アクセスは、すでに2025年1月時点で「大規模な個人情報漏えいの可能性」として公表された事案とつながっています。

快活フロンティアおよび親会社のAOKIホールディングスは、2025年1月の時点で、快活CLUBや関連スポーツクラブなどの会員情報約720万件超に漏えいの可能性があると発表していました。

楽天モバイル不正契約など、未成年サイバー犯罪のインフラ化

快活CLUBの事件は、若年層による高度なサイバー犯罪が「企業の大規模インシデント」と直結する時代を象徴する事案でもあります。疑似事例として挙げられている楽天モバイルの不正契約ケースからも、共通する構図が見て取れます。

流出認証情報を使った大量eSIM不正契約(疑似ケース)

疑似事例として想定されているケースでは、18歳の高校生がインターネット上で流出していたとみられる他人のID・パスワードを利用し、楽天モバイルのシステムに不正ログイン。

2025年5〜8月ごろにかけて

  • eSIM回線を2,100件以上も不正契約

  • その一部(逮捕容疑にかかるものとしては7人分)について、不正ログインと契約が確認

とされています。

不正に開通した回線は、SNSを通じて知り合った17歳の高校生が買い取り、秘匿性の高いアプリなどを介して1回線あたり1,600〜5,000円で転売していた想定となっており、少なくとも180回線以上がクレジットカード不正利用グループに流れた疑いがあるという構図です。

このように、不正ログイン→インフラ(通信回線)の大量取得→転売→別の詐欺・不正利用へ、という流れは、実際の国内事案でも繰り返し確認されている典型的なパターンです。

個人情報売買と二次・三次被害の連鎖

同じく疑似事例として紹介されているケースでは、不正に集めた

  • クレジットカード番号

  • 楽天IDなどを含む個人情報約20万件

を、DiscordやTelegram上で1件あたり約1,000円で売りさばき、約200万円を得たとされるストーリーが想定されています。こうした大量のペイロードが闇コミュニティ内で再流通すると、

  1. アカウント乗っ取り・ポイント換金

  2. なりすまし決済

  3. さらに別の不正契約や詐欺の土台

と、二次・三次被害が雪だるま式に広がるリスクがあります。
実際の捜査でも、「遊ぶ金が欲しかった」「試してみたかった」という軽い動機から始まり、結果的に非常に大きな被害規模につながっている事案が少なくありません。

企業側に求められる視点

企業・サービス事業者側には、技術対策と運用の両面からの強化が求められます。

  • Webアプリケーション・APIの脆弱性診断と継続的なパッチ適用

  • 大量アクセス・異常な通信パターンの監視と自動遮断(WAF、レートリミットなど)

  • 不正ログイン検知(IP・端末指紋・行動パターンを組み合わせたリスクベース認証)

  • 開発・運用担当者向けに「生成AIの安全な使い方」を含めたセキュリティ教育

  • インシデント発生時の初動、被害調査、利用者への通知フローの明文化

情報セキュリティ専門家も指摘しているように、「生成AI側のガードレール強化」だけでは、悪意ある質問の言い回しを変えられてしまえば抜け道が残ります。企業は「AIを前提に攻撃が高度化する」ことを見越し、システムの安全性と監視体制を再点検する必要があります。

参照

「快活CLUB」サイバー攻撃、AI悪用し会員情報盗んだ疑いで高2を再逮捕…自作プログラムを「チャットGPT」で改善か

関連記事

ランサムウェア 事例 【2024年】サイバー攻撃の事例 【2024年】 楽天モバイルへ不正ログインしeSIMを不正契約し転売 高校生2人を逮捕-総数2,100回線超、犯罪グループに流出か楽天モバイルへ不正ログインしeSIMを不正契約し転売 高校生2人を逮捕-総数2,100回線超、犯罪グループに流出か サイバー攻撃やランサムウェアによる被害を受けた際の社内・社外対応の流れサイバー攻撃やランサムウェアによる被害を受けた際の社内・社外対応の流れ 快活CLUB、不正アクセスに関する調査完了と再発防止策を発表快活CLUB、不正アクセスに関する調査完了と再発防止策を発表 ロックビット(Lock Bit)は米連邦準備銀行(FRB)ではなくエボルブ銀行へハッキングかロックビット(Lock Bit)は米連邦準備銀行(FRB)ではなくエボルブ銀行へハッキングか 米 プルデンシャル・ファイナンシャルがサイバー攻撃で250万人のデータ漏洩の可能性米 プルデンシャル・ファイナンシャルがサイバー攻撃で250万人のデータ漏洩の可能性 ランサムウェア グループ BlackSuit (ブラックスーツ)とは 概要や事例、国などを解説ランサムウェア BlackSuit(ブラックスーツ)とは 概要や事例、国などを解説 Veeam Backup & Replicationを狙うランサムウェア攻撃が発生Veeam Backup & Replicationを狙うランサムウェア攻撃が発生 TikTok(ティックトック)の危険性を解説TikTokの危険性を解説