バンダイ・快活CLUBへのサイバー攻撃、未成年が中心「脆弱性発見が楽しかった」動機と対策
バンダイ・快活CLUBサイバー攻撃、未成年犯行の動機と対策

バンダイチャンネルや快活CLUBを標的とした一連のサイバー攻撃で、未成年が犯行の中心にいる実態が浮き彫りになった。警察庁のまとめによると、昨年1年間に不正アクセス禁止法違反容疑で摘発された248人のうち81人、割合にして32%が10代だった。不正アクセス禁止法違反における少年の検挙人員と全体に占める割合は、近年増加傾向にある。

攻撃の動機と拡散の仕組み

今回の事件では、攻撃者の動機が従来とは異なる。バンダイチャンネルの事件は単独犯だったが、快活CLUBの事件では、1人が作成したツールがSNSの招待制コミュニティ(Discordなど)を通じて複数人の手に渡り、実行者の数を増やした。1990年代後半から「スクリプトキディ」と呼ばれる、他人のクラッキングツールを使う攻撃者は存在したが、当時はアンダーグラウンドな掲示板での配布が主流だった。今回は一般的な招待制コミュニティで公開された点が新しい。

攻撃の動機について、未成年の犯行では金銭目的や組織的な犯行ではなく、「脆弱性を見つけるのが楽しかった」「高度なプログラムにひかれた」といった興味本位が多く、数万件規模の被害が生まれている。生成AIがプログラムの完成度を上げ、SNSのクローズドコミュニティがツールを拡散する構造が、攻撃者の裾野を広げている。

Pickt横長バナー — Telegram用の共同買い物リストアプリ

企業に求められる対策

こうした状況を踏まえ、企業は攻撃者像が変わりつつあるという前提に立つ必要がある。「脆弱性を見つけられる人間はごく少数」という前提の防御は崩れつつある。未成年の犯行は動機の予測が難しく、興味本位で大規模被害が発生する時代だ。企業は継続的にセキュリティ対策を見直し、攻撃者の裾野の広がりに対応することが求められる。

Pickt記事後バナー — 家族イラスト付きの共同買い物リストアプリ