また｢楽天モバイル｣でハッキング､中高生が750万円を詐取｢未成年の犯罪助長するAI｣とは異なる本当の教訓…パスワードリスト攻撃への対策は？

今回の事件では、高校生らのグループがおよそ20億件以上のID・パスワードデータのリストを購入していた。いくらで購入したのかは不明だが、平均的なアンダーグラウンドマーケットなら数千円から数万円で取引可能だ。無料でダウンロードできるものも存在する。

20億件以上となると膨大だが、この手のデータは件数の多さだけで価値や値段を計ることができない。一般的に件数の多いリストは無効なアカウント、10年以上前に収集された古いアカウントのものが含まれている。もちろん、重複などの整理もされていない。

利用されたリストは、件数は多いが比較的リーズナブルな価格で売買されているものだろう。このレベルのリストは、ダークウェブのアンダーグラウンドマーケットまで行かずとも、サーフェスウェブの検索でもたどりつくことができる場合もある。

【テレグラム】

少年たちは、犯行の打ち合わせのほか、リストの入手先、不正ログインによって取得した回線契約の販売（転売）にもテレグラムを利用したとの報道もある。

テレグラムは、合法的なアプリであり、一部の独裁国家を除くと、その利用に制限はない。テレグラムでは、通信者同士で直接暗号化を行うことができる。これをエンドツーエンドの暗号化（E2E暗号化）という。運営会社や警察などが通信内容を把握することは困難なため、犯罪者やテロ組織の通信に使われることも多い。

特殊詐欺や闇バイトの事件でもしばしば登場するテレグラムだが、アプリ自体はLINEやTikTok、Redditといったコミュニケーションアプリと同じく、電話番号さえあればだれでもアカウントをつくることができる。もちろんアプリも公式サイトからダウンロードでき、自由に使うことができる。

【楽天モバイルの契約回線】

少年たちは入手したID・パスワードリストを使って「楽天モバイル」のサイトに不正侵入を試みた。利用したプログラムについては後述するが、彼らの狙いは通信事業者の回線契約だった。多数のログイン情報を利用して、誰かのアカウントになりすますことができれば、そのアカウント回線の契約が可能だ。

無料で使える回線契約は売ることができる。犯罪者ならばさまざまな犯行に利用できる。犯罪組織でなくても、タダで買い物ができるアカウントは魅力的に映るだろう。

しかし、新規の回線契約は本人確認などを厳密に行うので簡単ではない。オンライン手続きでもマイナンバーカードや免許証など本人確認書類が必要であり、2024年のSIMハイジャック事件以来、オンラインでの本人確認手順も厳正になっている。

しかし、すでに回線を契約している人が仕事や家族のために契約を増やす場合は、厳密な本人確認などせずに「マイページ」などから簡単に手続きすることが可能だ。つまり、すでに契約済みの正規アカウントのログインができれば、新しい電話番号の回線を契約できることになる。おそらくこの方法で不正な契約を繰り返したと思われる。

【不正プログラムと生成AI】

彼らが作成、利用した不正プログラムの詳細は明らかになっていないが、入手したID・パスワードリストを使って自動的なログインを繰り返すプログラムを作ったものと思われる。膨大なリストの総当たり攻撃は、人力では現実的ではないが、プログラムを使えば自動化できる。