バンダイチャンネルへのサイバー攻撃、犯行の中心は未成年「脆弱性を見つけるのが楽しかった」
バンダイチャンネル攻撃、未成年犯行の動機は「脆弱性発見の楽しさ」

バンダイナムコフィルムワークスが運営する動画配信サービス「バンダイチャンネル」に対し、サイバー攻撃が行われ、最大136.6万件の会員情報が漏洩した可能性があることが明らかになった。警視庁サイバー犯罪対策課は、未成年の少年を不正アクセス禁止法違反と偽計業務妨害の疑いで逮捕。少年は「脆弱性を見つけるのが楽しかった」と動機を語っている。

攻撃の経緯と被害の詳細

攻撃が発覚したのは2025年11月。バンダイナムコフィルムワークスは同月6日、一部の会員が意図せず退会処理される不具合を確認し、個人情報漏洩の可能性があるとして全サービスを緊急停止した。同社は11月19日の公式発表で、漏洩のおそれがある個人情報として、メールアドレス、ニックネーム、バンダイナムココイン残高情報、会員が選択した支払い方法の4項目を挙げた。ログインパスワードやクレジットカード番号など不正決済に直結する情報は含まれていないと説明している。

その後、最大136.6万件のデータが漏洩した可能性があると公表された。サービス停止期間中の利用料金については返金対応が取られている。

Pickt横長バナー — Telegram用の共同買い物リストアプリ

少年の犯行手口と動機

警視庁の捜査により、通信記録などから少年が浮上。2026年6月13日、まず不正アクセス禁止法違反の疑いで逮捕された。逮捕時、少年は「通信解析をしていたら、偶然会員情報が見えた」と説明していたという。その後、偽計業務妨害の疑いで7月6日までに再逮捕された。

少年は会員のIDとパスワードがなくてもサイト上からログインできる方法を見つけ、ChatGPTを使って自作したプログラムで退会処理ページに侵入した。被害に気づいた同社がアクセス遮断などの対策を取った後も、少年は約30回にわたり自身の接続元IPアドレスを変更しながら退会処理を続けていた。

少年の通信履歴からは、会員のメールアドレスや支払い方法、ニックネームなどを入手するプログラムを実行した形跡も見つかっているが、悪用された形跡はないとのことだ。少年は小学4年の頃からパソコンを使い始め、独学でプログラミングを学んでいたとみられている。

快活CLUBへの攻撃も発生

快活CLUBへの攻撃は2件ある。1つ目は2025年1月に発生した。1月18日から20日にかけて、「快活CLUB」の運営会社「快活フロンティア」のサーバーに対し、会員情報を取得する不正な指令が720万回以上送信され、公式アプリの機能の一部が停止に追い込まれた。

生成AIの進化とともに攻撃者像も変化している。今回の事件は、未成年が高度な技術を駆使して大規模なサイバー攻撃を実行した事例として注目される。

Pickt記事後バナー — 家族イラスト付きの共同買い物リストアプリ