また｢楽天モバイル｣でハッキング､中高生が750万円を詐取｢未成年の犯罪助長するAI｣とは異なる本当の教訓…パスワードリスト攻撃への対策は？

ただし、通常、短時間にログイン試行の繰り返し、ログイン失敗が続くとアカウントがロックされてしまう。また、普段とは違う場所、PC、スマートフォン、ブラウザからのアクセスは「不審なアクセス」として扱われる。リストの項目を使って単純なログインを繰り返すだけのプログラムではうまくいかない可能性が高い。

高校生が作ったプログラムは、同じIDに対して、短時間に不審なログインが集中しないといった、攻撃が発見されにくくする工夫がされていた可能性がある。以上のような攻撃プログラム作成に、生成AI（ChatGPT）が利用されたと考えられる。

【生成AIで攻撃プログラムをつくる】

報道では、少年たちは2024年5～8月にかけて、ログインに成功したアカウントを利用してeSIMの回線を契約し、転売により750万円相当の仮想通貨を手に入れたという。eSIMは、SIMカードの代わりに、スマートフォンの内部にSIMと同様の契約者情報や電話番号などを書き込むタイプの契約だ。

この犯罪を成立させるには、実在する契約者のログインIDとパスワードが必要になる。今回の事件では、20億件以上とされるリストを使い、機械的な処理でログインに成功する組み合わせを入手したことになる。そのようなプログラムを高校生に作ることが可能なのか。

もちろん可能である。プログラミングの知識があれば、サイトに自動ログインして情報を集めてくるプログラムはそれほど複雑なものではない。プログラムの作成やチューニングに生成AIを使えば、かなりの作業を簡略化できる。

例えば、以下は筆者が生成AIを利用して作った自動ログインのプログラムだ。PythonというWebアプリケーションで一般的なプログラミング言語を用い、平均的なPCで動作させることができる。

生成AIを利用して作った自動ログインのプログラム（資料：筆者提供）

AIは未成年の犯罪を助長するのか？

実は、通常の生成AIは、エシカルフィルターといった機能が備わっており、例えば「毒薬の作り方」「ウイルスの作り方」といった質問（プロンプト）には答えないように設定されている。