「3分で7万5000円」中学生ら不正アクセスによる転売で逮捕 大手携帯会社の厳重セキュリティ突破した“手口”の裏側とは

警視庁は2月27日、中学生2人と高校生1人の計3人を不正アクセス禁止法違反および電子計算機使用詐欺の疑いで逮捕した。報道によれば、生成AI「Chat GPT」を利用して作成したプログラムと、SNSを通じて入手したIDとパスワードのリストを利用し、楽天モバイルのシステムにログイン、不正に通信回線(eSIM)を契約し転売したという。

AIが社会に浸透するなかで発生した、若年層による大胆なIT犯罪。ネット犯罪に精通するITジャーナリストの井上トシユキ氏が事件の手口を解析する。

どのように不正に大量の回線契約を実現したのか

不正取得が判明したeSIMは11人分、計105回線だが、報道によれば逮捕された中高生は、2023年12月から1000件以上の回線を不正に契約。これをSNSを通じて転売し、750万円に相当する仮想通貨を受け取っていたと供述しているという。

eSIMは物理的なSIMカードではなく、端末に内蔵されたチップに契約者情報を都度ダウンロードして使用するもの。データを上書きするだけで手続きが完了するため、通信会社の変更や渡航先での利用などに利便性がある。

今回の事件の詳細について、これまでの各報道では明らかになっていないが、確かなのは以下の4点だ。

(1)3人はオンラインゲームを通じて知り合った
(2)不正ログインのためのプログラムは高校生が主導して作成し、3人でChat GPTを用いて高速化や効率化を図っていた
(3)メッセージングアプリTelegram(テレグラム )で知り合った人物から33億人分のIDとパスワードがセットになったリストを購入していた
(4)eSIMの販売もテレグラムを通じて行っていた

どのような手口だったのか

では、どのような手口で一連の犯行が行われたのか、以下に推測してみる。

33億人分ものリストを使って不正ログインを試し、1000件ほどが成功していた。このことから、自作していたプログラムはターゲットとするシステムに対し、IDとパスワードのセットを自動的に総当たりさせるものだったと考えられる。

現在、多くのログインの認証では、パスワード入力を3回程度ミスするとロックされ、一定時間は認証そのものができなくなってしまう。だが、セットになっているIDとパスワードなら、試すのはそれぞれ1回ずつとなり、ロックされることなく全33億人分を試すことができたのだろう。

通信会社のサービスの“盲点”つき、簡単に強奪

今回3人が不正にアクセスした楽天モバイルは、ひとつのIDで15回線まで契約できる。さらに、ふたつめ以降の回線契約では契約者情報の再入力が不要で、チェックボックスをクリックするだけで新たな回線契約が完了する。IDとパスワードのセットさえわかっていれば、ほかの個人情報が不明でも障壁なく、簡単に回線が“盗めて”しまうのだ。

この<不正ログインから空き回線ボックスのチェック>のプロセスは、プログラムで自動化していたと考えられる。同様に動作するプログラムが存在することからも、間違いないだろう。

仮にターゲットの回線が夫婦と子どもだけで3回線しか契約していなければ、残り12個のチェックボックスは空欄のままになる。そこにチェックを入れる作業をプログラムで自動化できれば、回線利用者の情報などを入力せずに、一気に12回線を短時間で不正に契約することが可能になる。

本来は、社員が増えたり、中学生になった子どもなどにスマホを持たせたりする時に便利だと考えられた「時短サービス」。そのすきをまんまとつくことで、手作業なら膨大な手間がかかる工程を、3人は自動化で楽々クリアしたワケだ。

こうして「盗みだしたeSIM」の情報を、3人は秘匿性の高いテレグラムで公開して販売。購入者から仮想通貨で対価を受け取ったという。この工程までも自動化していたのかは不明だが、プログラム化は可能だ。

今回、中高生が犯罪成立に至るまでの手口は、ざっくり以上のようだったと思われる。

被害者を名乗るコメントでは、「お盆期間に」「3分間で10件も契約」されていたと書かれていた。これが本当だとすると、不正にログインしてから回線契約の空いているボックスを自動でチェック、承認を待って完了するまでがわずか3分。被害者が確認のための通知メールによって気づいた時にはすでにテレグラム上で売りに出された後だった可能性もある。

仮に1000回線を750万円で売ったとして、たった3分待つだけで10回線分の7万5000円が手に入る計算だ。オンラインゲームでの課金もしたい放題だったに違いない。

動機について、捕まった3人のうち中学生の1人は「犯罪を自慢して尊敬されたかった」と話しているという。

過去にも発生している中高生のIT犯罪

識者には「思春期特有の承認欲求が根底にある」と指摘する者もいるが、その大胆さは社会に衝撃を与えた。もっとも、中高生によるコンピュータ犯罪は決して珍しくはなく、これまでにもたびたび明るみになっている。

10年前の2015年には北海道の中学生がネット上でコンピュータウイルスを1万円で販売して逮捕され、昨年6月には神奈川県の高校生、11月には埼玉県の中学生がやはりウイルスを自作し、他人のパソコンに感染させたとして書類送検された。

IT犯罪の若年化と学校における教育プログラムの変化は決して無関係ではないだろう。高校では2022年からプログラミング教育が必須化、中学校では2021年の必須化に先立ち、2012年から技術科の授業で簡単なプログラミング作成が導入されている。いまどきの中高生とプログラミングは大人が考える以上に近い距離にあるのだ。

授業で触れたことをきっかけに、プログラミングを独学で習得する。そうした中高生は確実に増えている。実際に同様の生徒に会ったことがあるし、ネット上の掲示板やQ&Aサイトでも、「学生です」「授業で」等の断りを入れたプログラミングに関する質問は珍しいものではなくなっている。

盗んだ回線をどこに売ったのか…

今回の事件で私が気になっているのは、売られた回線の行方だ。反社会的勢力や海外なのか。それともう一点、これらの手口をどうやって思いついたのか、あるいは学んだのかということだ。

もしも、テレグラムを通じて入手したのが33億人分のリストだけではなく、手口も含めてだったとしたら…。

中高生は大きなリスクをはらんだ詐欺の実行部隊として利用された可能性もある。中高生が自分で携帯電話の回線契約や暗号通貨のウォレット開設を行う機会がどれほどあるかと考えてみれば、背後に大人がいて入れ知恵したと疑ってもおかしくはない。

それはテレグラムの人物かもしれないし、オンラインゲームのチャットやアングラ掲示板に潜んで悪行を煽ってくるユーザーかもしれない。

もちろん、ネット上にはさまざまな解説をしたサイトや投稿があり、そうした知識を組み合わせて自力でスキーム全体を考えつくのも不可能ではないだろう。

とはいえ、今回の不正のスキームは、各段階で相当の手間とリスクが伴う。プログラミングへの知識欲、ネットの闇への興味を大人が悪用し、子どもに都合の悪い部分だけ犯罪の片棒を担がせたのだとしたら…。さらに上前もはねていたとしたら、筆舌尽くし難い悪の所業だ。

中高生らが素直に供述すること、そして事件の全容が明らかとなり、背後にいるであろう悪い大人が一網打尽にされることをいまは切に願う。

<プロフィール>
1964年 京都市生まれ、同志社大学 卒業。会社員を経て1998年より 取材執筆活動を開始。IT、ネットから時事問題まで各種メディアへの出演、寄稿および 論評多数。企業および学術トップへのインタビュー、書評も多く手がける。