「快活CLUB」サイバー攻撃、AI悪用し会員情報盗んだ疑いで高2を再逮捕へ…自作プログラムを「チャットGPT」で改善か
完了しました
インターネットカフェ「快活CLUB」の運営会社にサイバー攻撃を仕掛け、同社の業務を妨害したなどとして、警視庁は4日にも、大阪市平野区の高校2年の男子生徒(17)を不正アクセス禁止法違反と偽計業務妨害容疑で再逮捕する方針を固めた。対話型生成AI(人工知能)を悪用して自作したプログラムを使い、約725万件の会員情報を盗み取ったとみて調べている。
捜査関係者によると、男子生徒は1月18~20日、快活CLUBの運営会社「快活フロンティア」(横浜市)が管理する公式アプリのサーバーに通信端末から不正アクセスし、会員情報を盗み取るプログラムを実行。同社にアプリのサービスを一部停止させるなどの対応を取らせ、業務を妨害するなどした疑いがある。現時点で盗み取った会員情報の悪用は確認されていないという。
男子生徒は、同社の会員情報を自身の端末に取り込むプログラムを開発。システムの防御策をすり抜ける方法や、不正アクセスを試みる最中にエラーメッセージが出た際の対応を米オープンAIの「チャットGPT」に質問し、機能を改善させていたという。
携帯大手「楽天モバイル」の通信回線が不正契約された事件で、警視庁が2月以降に摘発した別の少年グループへの捜査から、男子生徒が今回の事件に関与した疑いが浮上した。
男子生徒は、「ディスコード」と呼ばれるゲーム愛好家らに人気のオンライン通信サービスで、快活CLUB側への攻撃を予告したり実況中継したりしており、サイバー犯罪に関心のある若者の間で知られていたという。
男子生徒は昨年5月、他人名義のクレジットカード情報を使い、「ポケモンカード」などの商品を販売サイトで不正購入したとして、先月15日に同庁に窃盗容疑で逮捕された。調べに対し、「サイトの
快活フロンティアの親会社のAOKIホールディングス(横浜市)は1月、快活CLUBや関連のスポーツクラブなどの720万件を超える会員らの氏名や住所、電話番号などの個人情報が漏えいした可能性があると発表していた。
「犯罪表現」避け、回答得る
オープンAIやIT大手が提供する対話型生成AIには、犯罪に悪用できる情報の回答を拒否する「ガードレール」機能が設定されている。だが、男子生徒は質問の際、サイバー攻撃を意図する直接的な表現を避けることで必要な回答を引き出していたという。
捜査関係者によると、男子生徒は小学生の頃から独学でプログラミングを学び、サイバーセキュリティーの技術を競う大会で入賞した経験もあった。
生成AIを悪用したサイバー犯罪の摘発は相次いでいる。警視庁は昨年5月、コンピューターウイルスを作成した不正指令電磁的記録作成容疑で20歳代の男を逮捕。男はガードレールを設けるサービスを利用せず、ネット上に無料公開されていた作者不明の生成AIを通じてウイルスの設計情報を入手したとされる。
「楽天モバイル」の通信回線の不正契約事件で同庁が摘発した少年グループは、チャットGPTを使い、不正契約を自動で行う自作プログラムの処理速度の向上を図っていたという。
情報セキュリティー会社「トレンドマイクロ」の高橋昌也シニアスペシャリストは、「各社の生成AIは不正対策の強化が進んでいるが、サイバー攻撃を防ぐ立場を装った悪意ある質問に詳細に答えてしまうなど、抜け穴がある」と指摘する。その上で「企業を標的にした攻撃は後を絶たない。情報流出の影響は大きく、各企業はシステムに脆弱性がないか、改めて点検する必要がある」と語った。
