増える高校生らのサイバー犯罪

生成AIの悪用が徐々に顕在化し始めている。使いこなせば、想像を超えるような犯罪も可能なITツールは、若年層ほどその存在がより身近で、自在に操る“天才少年”も珍しくないという。 【表】不正アクセス禁止法違反被疑者の10～20代職業別 2日、警視庁に逮捕された大阪市の高校2年生の少年はネットカフェの運営会社をサイバー攻撃し、700万件以上の会員情報を盗み取った。サイバー犯罪の若年化に歯止めをかけるのに、なにが必要なのか。 昨今のサイバー犯罪の傾向も踏まえ、問題の根幹に迫り、対策の方向性を考察する。（本文：ITジャーナリスト・井上トシユキ）

AIをだまして実行したサイバー攻撃

インターネットカフェの運営会社にサイバー攻撃を行い、会員情報約725万件を盗み取ったとして、大阪市の高校2年生が不正アクセス禁止法違反と偽計業務妨害の疑いで再逮捕された。この少年は、他人名義のクレジットカードを使用した窃盗の疑いで今年11月に逮捕されていた。 不正にアクセスしたサイトから会員情報を自身の端末に取り込むプログラムを自作する際、機能を改善するために生成AIを利用。AIの安全で倫理的な利用のために入出力を監視する「ガードレール」を回避して不正な目的に使うことをAIに悟られないよう、質問を工夫していたという。 少年のサイバー犯罪といえば、楽天モバイルが2月にeSIMの不正取得、11月には回線の不正契約・転売と、二度も被害に遭っている。 2月の事件では、犯人はログインからeSIMの取得までを自動化するプログラムを作成し、やはり生成AIを利用してブラッシュアップを図っていた。11月の事件は、ネット上に流出しているIDとパスワードのリストを使って不正なアクセスを試みる古典的な手口だったが、攻撃を自動化するプログラムをつくったのが中学生だったことが明らかとなり、世間に衝撃を与えた。

世界的に低年齢化が目立ち始めているサイバー犯罪

犯罪スケールの大きさに比べ犯人の年齢が低い傾向は、海外でも目立ってきている。昨年9月、ロンドンの交通局への大規模なサイバー攻撃の犯人として、18歳と19歳の少年が逮捕・起訴されたと報じられた。2022年にアメリカで起きたUberへのハッキングでも18歳の少年が犯人だった。 パソコン、インターネットが普及し、生活やビジネスのインフラとして定着するとともに、産業の中核を担うようになり、若年層に対するプログラミング教育も熱心に行われるようになった。夏休みに企業が催すプログラミング教室には、小学生から高校生まで児童、生徒が殺到する。 たとえば、日本の高校で必修科目となっている「情報I」をきちんと履修すれば、新人のIT人材としてはほぼ一人前と言われる。実際、24年に民間企業が「情報I」で学ぶ範囲の課題を社会人と高校生に解かせたところ、20問中16問で高校生の正答率や理解度が上回ったという報告もある。 同時にSNSが浸透、活発に情報交換がされているが、そのなかにはアンダーグラウンドや犯罪に関する情報も数多く、匿名参加が基本であることから低年齢層の参加も珍しくない。