バンダイチャンネルで4.6万人を強制退会させた15歳を逮捕、ChatGPTで自作した不正プログラムで攻撃

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo

「生成AIがあれば、素人でもサイバー攻撃ができるの?」
「ChatGPTで不正プログラムを作れてしまうのか……企業は防ぎようがない?」

チップス

バンダイチャンネルに不正アクセスで15歳が逮捕でしゅ!しかもChatGPTでプログラム自作って、そんなことできるんでしゅか!?

ボス

そうだ。中学3年の少年が、ChatGPTに聞きながら不正プログラムを完成させた。専門家でなくても、AIを使えば攻撃ツールを作れる時代が現実になったということだな。

生成AIの普及は、私たちの業務効率を上げる一方で、サイバー犯罪のハードルを劇的に下げるという負の側面も持ちます。
今回の事件は、その危険性を突きつける典型例です。
この記事では、バンダイチャンネル不正アクセス事件の手口を詳しく解説し、企業が今すぐ見直すべき防御の視点をお伝えします。

  • 2025年11月、15歳(当時中学3年)がバンダイチャンネルに不正アクセスし4万6812人を強制退会処理
  • ChatGPTを使い自作した不正プログラムで攻撃を繰り返し、IPアドレスを30回以上変更して追跡を回避
  • サービスは約1ヶ月停止、警視庁が偽計業務妨害容疑で逮捕

生成AIを悪用した攻撃の実態と、企業が取るべき具体的な対策が分かります。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
目次

ChatGPTで不正プログラムを作った中学生の手口

この事件が注目を集めた最大の理由は、攻撃者が高度なハッカーではなく、当時中学3年生だったという点です。
どのようにして企業のシステムに侵入したのかを、事実に沿って整理します。

会員4.6万人を退会させた攻撃の流れ

少年は小学4年生の頃から独学でプログラミングを学んでいました。
2025年11月、アニメや特撮コンテンツを配信する「バンダイチャンネル」(運営:バンダイナムコフィルムワークス)の通信内容を自ら解析し、システムの脆弱性を発見。
その脆弱性を突く不正プログラムを、ChatGPTに質問しながら完成させました。

攻撃の手順は以下のとおりです。

  • バンダイチャンネルの通信内容を独自解析し、脆弱なエンドポイントを特定
  • ChatGPTに相談しながら退会処理を自動実行する不正プログラムを作成
  • IPアドレスを30回以上変更して追跡・ブロックを回避しながら攻撃を継続
  • 4万6812件の会員の利用登録を無断で解除し、全サービスを約1ヶ月停止させた

少年は「プログラムを自分で作り、ChatGPTに聞いて完成させた」と供述しており、生成AIが攻撃ツール開発を実質的に補完したことが明らかになっています。

「恨みはない」犯行動機が示す新たな脅威の姿

チップス

恨みもないのに攻撃したんでしゅか?動機が分からなくて怖いんでしゅけど……

ボス

「技術的にできるかどうか試した」「腕試し感覚」という動機が、実はセキュリティ担当者にとって最も対処が難しいケースだ。標的に明確な意図がないから、事前に察知できない。

少年は「被害企業に恨みはなかった」と話しており、組織的な犯罪集団とは異なる動機です。
しかし被害の実態は深刻で、サービスを約1ヶ月停止させた経済的ダメージは無視できません。
今回の事件が示す新たな脅威の特徴をまとめると、次のとおりです。

  • 攻撃動機が金銭・怨恨でないため、ターゲットになる予測が困難
  • ChatGPTで補完することで、独学の素人でも機能する攻撃ツールを作れる
  • IP変更を繰り返す手口により、単純なIPブロックでは防げない

生成AIの登場以前、このような攻撃には高度なコーディングスキルが必要でした。
しかし現在は、AIに「どうすれば退会処理を自動化できるか」と聞きながら攻撃コードを生成できます。
技術的ハードルが劇的に下がったことを、この事件は証明しています。

生成AIが変えたサイバー犯罪のハードル

今回の逮捕は氷山の一角です。
ChatGPTを代表とする生成AIの普及により、サイバー攻撃の「民主化」が進んでいる現状を、セキュリティ担当者は直視する必要があります。

企業が今すぐ見直すべきAPIとシステムの防御

今回の攻撃は、退会処理APIへの大量リクエストという形をとっていました。
生成AIで自動化される攻撃に対し、次の対策が有効です。

対策目的
レート制限(Rate Limiting)の強化短時間の大量リクエストを自動ブロック
異常操作のアラート設定退会・解約の急増を即時検知
定期的な脆弱性スキャンエンドポイントの弱点を先に発見
重要操作へのMFA追加不正操作に権限の壁を設ける

「好奇心ドリブン」の攻撃者を想定したセキュリティ設計

チップス

今までランサムウェアグループや国家ぐるみの攻撃を想定して対策してきたんでしゅが、個人の中学生まで想定しないといけないんでしゅか!?

ボス

攻撃者像を絞り込んで対策を立てること自体が間違いだ。どんな動機・スキルの攻撃者にも通用するのは、システム側の「抵抗力」を高めること。入口を狭め、異常を検知し、被害が広がる前に止める仕組みを作るしかない。

セキュリティの基本は「攻撃者が誰であっても守れる設計」です。
金銭目的の組織的犯罪だけでなく、好奇心から動く個人への耐性も求められます。
API設計の段階から認証・認可・操作ログの取得を組み込み、運用時には異常検知アラートを機能させておくことが重要です。

  • APIエンドポイントへのアクセス頻度をモニタリングし閾値超えを即時通知する
  • 会員の退会・解約などの重要操作に本人確認(メール認証・MFA)を追加する
  • 定期的なペネトレーションテストで自社サービスの脆弱性を先手で発見する

まとめ

バンダイチャンネルへの不正アクセス事件は、生成AIが「攻撃支援ツール」として機能しうることを、現実の事件として示しました。
専門知識のない中学生が、ChatGPTを活用するだけで4万人超に被害を与えたという事実は重大です。

チップス

自分の会社も狙われるかもしれないって考えると、早急に対策しないとでしゅね!

ボス

その危機感が大切だ。脆弱性をゼロにすることは不可能だが、「見つけられにくく、見つかっても被害を最小化する」設計が企業の責任だ。今すぐレート制限と異常操作の監視から始めることを勧める。

生成AIの普及はサイバー犯罪のハードルを下げ続けています。
攻撃者を「高スキルの組織」に限定せず、あらゆる動機・スキルの侵入者を想定したシステム設計が、今後の企業セキュリティの基本になります。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

セキュリティプロ・フリーランスは、セキュリティ領域に特化したフリーランス向けのエージェントサービスです。案件探しだけでなくキャリアにお悩みの方もお気軽にご相談ください。

目次