生成AIの「二面性」が再び世界を警戒させている。日本警察の最新発表によると、日本の最大手チェーンネットカフェ「カイカツクラブ(Kaikatsu Club)」が今年1月に大規模なデータ漏洩事件に遭い、その背後には17歳の高校2年生の少年がいた。この少年はChatGPTのセキュリティ制限を回避し、AIを使って悪意のあるプログラムを作成し、約725万件の会員個人情報、つまり名前、住所、電話番号、会員番号などの機密データを不正に取得した。

 AIが「ハッカーの訓練場」?プラットフォームの保護を回避して攻撃ツールを作成

調査によると、この容疑者は大阪関西地域出身で、プロのハッカーではないが、幼い頃から自宅でプログラミングを学び、情報セキュリティコンテストで賞を受賞しており、しっかりとした技術的基礎を持っていた。彼の攻撃方法は以下の通りである:

- カイカツクラブサーバーに偽造されたAPIコマンドを送信し、認証メカニズムを回避;

- 自動化スクリプトを使用して会員データベースの内容を一括で抽出;

- 攻撃により企業の一部システムが一時停止し、運用に深刻な影響を与えた。

重要なのは、この悪意あるプログラムのコアコードがChatGPTによって生成されたものだ。主流のAIプラットフォームはすでに多重の保護措置を導入し、マルウェアの生成を禁止しているが、この少年は「話術の包装」(例えば、攻撃コードを「侵入テストスクリプト」や「セキュリティ研究ツール」と表現するなど)を通じて、AIに実戦可能な攻撃ロードを出力させることに成功した。

 犯行の動機は意外:ポケモンカードを買うためにクレジットカード情報を盗んだ

警察によると、この少年の最初の目的は、会員に紐づけられたクレジットカード情報を入手し、オンラインでポケモンカードを購入することだった。逮捕後に彼は「サイトの脆弱性をテストしていた」と主張したが、警察はその行動が明らかに違法な目的を持っており、合法的な脆弱性報告の手続きを遵守していなかったと指摘し、不正指令電磁記録罪などの刑事犯罪に問われている。

 専門家警告:AIがネットワーク攻撃のハードルを大幅に下げる

サイバーセキュリティの専門家は、この事案が生成型AIのセキュリティ分野における重大なリスクを露呈したと指摘している:

- 技術民主化=犯罪民主化?過去では何年もかけて積み重ねたハッカーのスキルが、今ではAIによって数時間で再現可能になっている;

- 自然言語の柔軟性により、AIの制限機構は簡単に回避されてしまう——ユーザーが継続的にプロンプトを調整すれば、AIは最終的に「妥協」する;

- 仮にプラットフォームがフィルタリングを強化しても、「AI+人間の微調整」のモードにより、高隠蔽性の悪意あるコードが生成される可能性がある。

「私たちは『誰でもハッカーになれる』時代に入っている」と匿名のセキュリティ研究者は述べた。「防御側は『穴を埋める』ことから、『AIの悪用パターンを予測する』ことに転換しなければならない。」

 AIbaseの観察:AIが犯罪の共犯となるとき、セキュリティの境界は再構築されるべきだ

この事例は孤立したものではない。2025年以来、世界中でAIによって作成された詐欺メールやランサムウェア、さらにはディープフェイク詐欺ツールを使った事件が複数報告されている。規制当局とテクノロジー企業は両難に陥っている:

- 過度に制限すると、AIがセキュリティ研究や教育などの正当な用途においても損害を与える可能性がある;

- 一方で、放任すると、次世代の「AIを活用した犯罪」が生まれる恐れもある。

専門家は、プラットフォームがAI生成コードのトレースと監査メカニズムを構築すべきだと呼びかけ、企業はAPIセキュリティと異常行動の監視を強化し、法律もAIに悪意のあるコンテンツを生成させる行為の責任を明確にする必要があると述べている。