快活CLUBの公式アプリで今年1月に不正アクセスが発生し、700万件超の会員情報が漏えいした問題で、警視庁は12月4日、大阪府の高校2年生の男子生徒を逮捕したと複数のメディアが報じました。
この報道を受け、ネット上では「将来有望なホワイトハッカー」「ホワイトハッカーとして雇うべき」といった声もあります。しかし一方で、現実を知る技術者たちからは、こうした称賛の空気に強い懸念が示されています。
■ 高校生の不正アクセス、その実態は“AI頼み”
今回の事件は、快活フロンティアが管理する快活CLUBの公式アプリに対し、高校生が不正アクセスを行い、大量の個人情報を盗み取ったとされるものです。報道によれば、男子高校生は小学生の頃からプログラミングを独学し、サイバーセキュリティの大会で入賞した経験もあったとされています。しかし今回の事件では、生成AI「ChatGPT」を使って攻撃用プログラムの修正を行っていたといいます。
ネット上では、年齢が若いことから将来のホワイトハッカーとして期待する声も相次ぎました。しかし現実的には、逮捕された時点で「プロとして通用するレベルではなかった」ことが明らかになっただけであり、ブラックハッカーとしても成立していません。さらに言えば、犯罪目的で侵入する「クラッカー」と呼べる水準にすら達していません。
いうなれば今回のケースは、「AIクラッカー」とでも呼ぶべき存在です。現に、突破に至った背景には、生成AIによるプログラム作成支援が大きく影響したとみられます。AIを活用すること自体は、いまや高度な技術者も行う一般的な手法であり、それだけで技術力の低さを意味するものではありません。
しかし今回のケースでは、AI任せのコード生成に依存し、自身で十分に理解しないまま攻撃を実行した可能性が高く、攻撃後のリスクや対処への認識も十分ではなかったことがうかがえます。
■ 映画とは違う、ホワイトハッカーの現実
映画では、ホワイトハッカーが自由に侵入し、逆ハックによって犯人を追い詰めるような描写がしばしば登場しますが、現実はまったく異なります。
ホワイトハッカーに求められるのは、守る側の体系的な理解や法令・契約・倫理の遵守です。攻撃の知識も、本来は防御のために必要とされるものにすぎません。
そもそも彼らが合法的に侵入を行えるのは、脆弱性診断を目的に「対象の所有者から明確な許可を得ている場合だけ」であり、その範囲(スコープ)から外れる行為は契約違反や違法行為になりえます。
また、診断で得た情報を外部に漏らさないことも厳格に求められ、SNSに詳細を書くなどは論外です。映画ほどの派手さはなく、現実のホワイトハッカーは見えないところで地味に、確実に社会を支えています。
一方で、現在ネット上ではケビン・ミトニックのことと思われる「ハッキングに成功した人物がスカウトされ、ホワイトハッカーとして活躍した」という逸話も語られています。しかし、そうした例は十数年以上前の極めて例外的なもので、現在のセキュリティ業界では、違法アクセスに関わった人物を採用するケースは稀。
日本では成人・未成年を問わず、企業が個人の“前歴”を公的機関に照会して確認する制度はありません。そのため、就職が直ちに制限されるわけではありませんが、万が一過去の行為が何らかの形で判明した場合には、違法行為に関与した事実そのものが大きなリスクとして判断されます。まして政府系・公共系の案件では高度な信頼性が求められるため、関わることは実質的に極めて困難です。
高い倫理観が求められる職種である以上、違法アクセス歴は重大なマイナス要因であり、“才能”という名のロマンで補えるものではありません。
■ 犯罪を賞賛することは、真面目な技術者への冒涜
こうした美談化は、「真面目に努力してきた技術者ほど割を食う」という問題もはらんでいます。犯罪に手を出さず、地道に技術を磨き続けてきた人々の努力が、好奇心で違法行為に及んだ未熟な若者の「天才扱い」によって、正当に評価されなくなってしまうからです。
スポーツで例えるなら、反則を犯した選手を「才能があるから代表にすべきだ」と持ち上げているようなものです。現場の技術者が怒りや虚無感を抱くのは当然だと言えます。
ホワイトハッカーは「侵入できる技術」よりも「侵入しない倫理」が重要であり、ブラックハッカーは(善悪は別として)一貫した目的と技術体系を持っています。今回の高校生は、そのどちらにも達していません。
■ 世界で増加する「AIクラッカー」とその危険性
実際、今回のような行為は、自力での理解が浅いままAIを頼りにした不正アクセスにすぎません。しかしこれは同時に、近年顕著になっている“新しい危険層”の典型でもあります。
世界では近年、AIを手軽に利用できるようになったことで、技能の浅い層でも攻撃のハードルが下がったと指摘されています。複数のセキュリティ企業も、生成AIを用いたマルウェア作成や攻撃の自動化が広がりつつあると報告しており、AIを悪用したサイバー犯罪の“裾野”が広がっている傾向があります。
また、こうした攻撃者には、基礎知識が乏しいままAIが生成したコードを写経し、仕組みを十分理解しないうちに攻撃を行ってしまう懸念があります。今回の事件でも、結果として数百万件の個人情報が漏えいする事態となっており、攻撃後のリスクを十分に理解せず行われた可能性がうかがえます。
さらに不安視されるのは、こうした「AIクラッカー」が今後、悪意ある組織に「使い捨ての駒」として利用される可能性があることです。本来、熟練したブラックハッカーを育成したりスカウトしたりするには膨大な時間とコストがかかります。しかし、AIに頼った未熟なクラッカーは安価でリスクを負わせやすく、数をそろえることも容易です。
攻撃者側からすれば、特別な育成も必要とせず、逮捕されても替えがいくらでも効きます。こうした構造が広がれば、世界的に攻撃の裾野がさらに拡大することは十分に予想されます。
今回の事件は「天才ハッカーの誕生」ではありません。むしろ、誰もがAIという強力な道具を手にする時代において、知識も倫理も未成熟なまま犯罪に手を染めてしまう危うさ、そしてそれを取り巻く社会の誤解を浮き彫りにした出来事です。
私たちはいま、サイバー攻撃の質が変わりつつある転換点にいるのかもしれません。
<参考>
快活CLUB:本年1月に発生した当社サーバーへの不正アクセスに関する容疑者逮捕の件について(2025年12月4日)
Malwarebytes “Cybercrime in the Age of AI”レポート(2025年)
(宮崎美和子)
