今回の件に関しても、AIという技術そのものの是非ではなく、技術に触れる一人ひとりが、何のためにそれを使い、どこまでなら許されるのかというリテラシーの問題だ。
また、バンダイチャンネルの事件は単独の人物による犯行だったが、快活CLUBの事件では、1人が作ったツールがSNSのコミュニティを通じて複数人の手に渡り、実行者の数を増やしてしまった。
もっとも、この構造自体は目新しいものではない。1990年代後半から、他人が作ったクラッキングツールをそのまま使って攻撃を行う者を指す「スクリプトキディ」という言葉が存在し、当時からアンダーグラウンドの掲示板などを通じてツールが配布される構図はあった。しかし今回は、Discordのような一般的な招待制コミュニティで公開された点が異なる。
また、サイバー犯罪の低年齢化もある。警察庁のまとめで、昨年1年間に不正アクセス禁止法違反容疑で摘発された248人のうち81人、割合にして32%が10代だったという。また、不正アクセス禁止法違反における少年の検挙人員、および全体に占める割合はともに近年増加傾向にある。
動機の予測をしにくい未成年…対策は?
こうした事件を踏まえ、企業としてはどのような取り組みをすべきだろうか。
まず「攻撃者像」そのものが変わりつつあるという前提に立つことだ。生成AIが自作プログラムの完成度を上げ、SNSのクローズドなコミュニティがそのツールを複数人に届ける。「脆弱性を見つけられる人間はごく少数」という前提の上に成り立っていた防御は、その前提自体が崩れつつある。
しかも実行者の中心が未成年であることは、動機の予測をしにくくする。金銭目的でも組織的な犯行でもなく、「脆弱性を見つけるのが楽しかった」「高度なプログラムにひかれた」という興味本位で、数万件規模の被害が生まれる時代になっている。
攻撃者の裾野が広がり、しかもその広がり方自体も変わりつつあるという時代の流れを踏まえたうえで、備えを継続的に見直していく姿勢が、これまで以上に問われている。



