15歳がChatGPTで4.6万人を退会させた事件 — 生成AIが攻撃のハードルを下げる現実


生成AI悪用の攻撃フロー(バンダイチャンネル事件) 少年(14歳) 独学で脆弱性を発見 補完依頼 ChatGPT コード補完・改良 不正プログラム完成 DBへ虚偽リクエスト送信 バンダイチャンネル DBサーバー(検証不備) 強制退会処理 46,812件 強制退会 全サービス一時停止・情報漏洩 ※脆弱性発見は少年の独自スキル / ChatGPTはコード補完に使用
生成AIを悪用した攻撃フローのイメージ
ひよこ ひよこ
ペンギン先生!「15歳の子がChatGPTで不正プログラムを作って、バンダイチャンネルを攻撃した」ってニュース見たんだけど、本当なの?
ペンギン先生 ペンギン先生
本当だよ。2025年11月に起きた事件で、少年は2026年7月4日に逮捕されたんだ。動画配信サービス「バンダイチャンネル」の会員46,812人が本人の意思と関係なく退会処理され、全サービスが一時停止したんだよ。
ひよこ ひよこ
退会処理って、普通は自分でやるやつだよね?それが勝手にされるって、どういう仕組みで起きたの?
ペンギン先生 ペンギン先生
バンダイチャンネルのデータベースサーバーに、退会処理を実行させる虚偽のリクエストを大量に送りつけたんだ。本来なら不正なリクエストは弾くべきなんだけど、バリデーション(入力値の検証)が不十分だったせいで、約4時間で4.6万件超が処理されてしまったんだよ。
ひよこ ひよこ
ChatGPTが攻撃ツールになっちゃったの?
ペンギン先生 ペンギン先生
少し正確に言うと、脆弱性を見つけたのは少年自身の力だよ。小学4年からプログラミングを独学していて、バンダイチャンネルの通信内容を自分で解析して穴を発見した。ChatGPTは『自作プログラムをより完成度の高いものにする』ために使った補助ツールだったんだ。
ひよこ ひよこ
ChatGPTが「犯人」じゃなくて、少年の道具の一つだったんだね。でも、それって何が問題なの?
ペンギン先生 ペンギン先生
重要なポイントは、AIのおかげで攻撃のハードルが下がったということだよ。昔は脆弱性を見つけるスキルと、高精度なコードを書くスキル、両方が必要だった。でも今は前者さえあればChatGPTが後者を補えてしまう。これを『攻撃の民主化』と呼ぶことがある。
ひよこ ひよこ
少年はどうなったの?「趣味でやっただけ」って感じがするけど…
ペンギン先生 ペンギン先生
警視庁サイバー犯罪対策課に偽計業務妨害の容疑で逮捕されたよ。少年は『会社への恨みはなく、通信解析が趣味だった』と供述しているけど、4.6万人の利用者に実害が出ているからね。趣味でも、他人のサービスに無断でアクセスして被害を与えたら犯罪なんだ。
ひよこ ひよこ
もし少年が「攻撃」じゃなくて会社に「脆弱性があるよ」と教えてあげる選択をしていたら…って思う。
ペンギン先生 ペンギン先生
それが理想形だね。企業がバグバウンティ制度(脆弱性を正規報告したら謝礼が出る仕組み)を整えておけば、スキルのある人間が「通報者」として活躍できる。セキュリティ専門家はまさにその整備を各社に求めているよ。
ひよこ ひよこ
この事件から私たちが覚えておくことって何かな?
ペンギン先生 ペンギン先生
二つあるよ。一つは、大手サービスでも突然アカウントが使えなくなるリスクが現実にあること。もう一つは、AIはツールだから使い方は人次第——ChatGPTの見出しに踊らされず、技術と倫理はセットで考えることが大切だということだね。