同社は1月18日夕刻にサーバーへの不正アクセスを検知し、直ちにネットワークを切り離す対応を取った。
1月28日の続報で、漏洩の可能性がある個人情報の件数が729万87件にのぼることが明らかにされた。対象となった項目は、姓名、住所、会員番号などで、身分証明書情報やクレジットカード情報などは対象に含まれていないとされた。
この事件では25年12月、大阪市の男子高校生が偽計業務妨害・不正アクセス禁止法違反の疑いで逮捕されている。少年は「システムの脆弱性を見つけるのが楽しかった」と供述しており、小学生の頃から独学でプログラミングを学び、サイバーセキュリティの技術を競う大会で入賞した経験もあったという。
ChatGPTから直接的な表現を避けて回答を引き出す形でプログラムを自作、修正していたとみられ、また、SNS上で攻撃を予告したり、攻撃が成功した様子を実況したりしていたことも報じられている。
そしてこのプログラムが、新たな事件を生む。26年7月8日、警視庁サイバー犯罪対策課は新たに東京都在住の18歳の会社員の男を、偽計業務妨害と不正アクセス禁止法違反の疑いで逮捕した。男は事件当時、高校2年生だった。取り調べに対しては「高度なプログラム内容にひかれた」と供述する一方、偽計業務妨害については関与を一部否認しているという。
捜査関係者によれば、攻撃に使われたプログラムは、先に逮捕された大阪市の少年がChatGPTを使って作成したものであり、SNS「Discord」上のコミュニティで公開、共有されていたという。
先に逮捕された大阪市の少年も、今回の東京都の男も、「小学生の頃から独学でプログラミングを学び」「サイバーセキュリティの技術を競う大会で入賞歴がある」という、ほぼ重なる経歴を持っている。警視庁は、このグループには当時小学6年生だった少年も含まれ、攻撃に加わっていたとみて背景を調べている。
生成AIの進化とともに攻撃者像も変化している
生成AIが普及したことで、サイバー攻撃の技術的なハードルが下がっていることは間違いない。自分には書けないプログラムを生成したり、実行速度を速めるためのプログラム書き換えなど、さまざまな用途に生成AIが活用できる。

