アニメを観ようとログインしたら、自分のアカウントが消えていた。そんな出来事が、去年の秋に実際に起きました。しかも、それを引き起こしたのは、どこかの犯罪組織でも、凄腕のハッカー集団でもありません。ゲーム機やスマホと同じくらい身近になった、あの対話型AIに「聞きながら」プログラムを組み上げた、一人の中学生でした。便利な道具が、ある日ふいに牙をむく。その瞬間に、私たちはもう立ち会ってしまっているのかもしれません。この記事では、何が起きたのかを丁寧にたどりながら、その先にある「これからの当たり前」について、一緒に考えてみたいと思います。
警視庁は2026年7月、偽計業務妨害の疑いで、埼玉県所沢市に住む高校1年の男子生徒(15)を逮捕した。生徒は攻撃当時、中学3年だった。生徒は動画配信サービス「バンダイチャンネル」を運営するバンダイナムコフィルムワークスのネットワーク通信を解析して脆弱性を特定し、自作したプログラムをChatGPTで補助して完成させ、不正アクセスを自動化したとされる。
2025年11月、このプログラムにより会員4万6812アカウントの登録が解除された。同社は11月6日にサービスを停止し、12月19日に再開した。同社は調査の結果、最大136万6000件の会員データが漏えいした可能性があるとし、対象にメールアドレス、ニックネーム、バンダイナムココインの残高、支払い方法が含まれるとした。ログインパスワードとクレジットカード番号は含まれない。
生徒は6月に不正アクセスの疑いで先に逮捕されていた。取り調べに対し容疑を認め、会社に恨みはないと述べたという。
【編集部解説】
まず、多くの見出しが「ChatGPTがマルウェアを作った」と読める書き方をしていますが、捜査当局の説明はもう少し慎重です。少年はまず自分でサービスの通信を解析して脆弱性を見つけ、退会処理のプログラムも自作しています。一部報道によれば、処理に時間がかかるため、ChatGPTに尋ねて別のプログラミング言語に書き換え、完成度を高めた、というのが実態に近い経緯です。
つまりAIがゼロから攻撃を生み出したのではなく、もともと技術のある人間の作業を「加速・補助」した、と捉えるのが正確でしょう。ここを混同すると、この事件の本当の怖さを見誤ってしまいます。
その怖さとは、「専門家でなくても、そこそこ書ける人が一気に実行力を得てしまう」という敷居の低下です。生成AIが攻撃の技術的ハードルを下げている、という点こそが、この一件を国際的なサイバーセキュリティの文脈で語る理由になっています。
次に、数字を整理させてください。ここが各社で最も混乱している部分です。ひとつは「退会させられたアカウント数」で、これは4万6812件と具体的に報じられています。もうひとつが「漏えいした可能性のあるデータの規模」で、こちらは桁がまるで違います。
後者について、The Japan Timesは最大136万6000件の個人情報が対象になり得ると伝えています。注意したいのは、これが「人数」ではなく「件(データ項目)」で語られている点です。対象にはメールアドレス、ニックネーム、バンダイナムココインの残高、選択していた支払い方法が含まれます。1人につき複数の項目が数えられるため、「件数」と「人数」は必ずしも一致しません。ここを取り違えると、数字だけがひとり歩きしてしまいます。
一方で、過度な不安を煽らないためにも、漏れなかったものを明記しておくべきでしょう。ログインパスワードとクレジットカード番号は含まれておらず、情報が公開・悪用された形跡も確認されていません。加えて、今回はランサムウェア攻撃ではなく、同社は影響を受けた利用者へ個別に連絡し、個人情報保護委員会へ最終報告も提出しています。
被害の広がりも見ておきます。同社は2025年11月6日にサービス全体を止め、復旧は12月19日まで、およそ6週間に及びました。その間の料金は返金され、強制的に退会させられた会員は登録し直す必要があります。数万人規模の日常が、たった一人の高校生の手で数週間止まったという事実は、重く受け止める必要があります。
事件としての経緯にも触れておきます。少年は6月13日に不正アクセス禁止法違反の疑いで逮捕され、いったん処分保留で釈放されました。その後、7月4日に偽計業務妨害の疑いで再逮捕され、7月6日までに発表されています。アクセスを遮断された後も、約30回にわたってIPアドレスを変えながら退会処理を続けたとされ、この執拗さはAIというより本人の粘り強さと知識によるものでしょう。「道具としてのAI」と「人間の意志」は、切り分けて考える必要があります。
ポジティブな面にも触れておきましょう。生成AIがプログラミングの敷居を下げること自体は、教育や生産性にとって大きな福音です。小学4年から独学でここまで到達した少年の能力は、本来なら守る側で花開かせられたはずのものでした。海外の一部読者の反応では、罰するより才能を正しい方向へ導けないか、という声も見られます。
規制と制度への波及も避けて通れません。日本ではこの種の行為が不正アクセス禁止法違反や偽計業務妨害として立件されますが、犯行当時14歳の中学生だった点は、少年法との関係で議論を呼ぶでしょう。同時に、生成AIの提供側にも、危険な用途を思いとどまらせるガードレールの実効性が改めて問われることになります。
長期的な視点では、この事件は「AIによる攻撃の民主化」時代の入口の一例にすぎないと見るべきです。親会社のバンダイナムコは2022年にも、ランサムウェア集団が犯行を主張した不正アクセスを受けており、エンタメ・配信領域が繰り返し標的になっている事実も見逃せません。守る側の設計思想と、才能ある若者の受け皿づくり、その両輪を今から整えておけるかどうかが、私たちに問われているのだと思います。
【関連記事】
AI vs AIの攻防 ― ディープフェイクを『作る技術』と『見抜く技術』の最前線
中高生が生成AIで作ったプログラムで不正アクセスし逮捕された同型事案にも触れ、本件を先取りした記事。
Anthropic「Fable」停止直後、ファイブ・アイズが異例の警告─AIサイバー攻撃は「数カ月先」
生成AIが脆弱性発見から攻撃コード生成までこなす時代の到来を、国家レベルの警告から読み解く一本。
OpenAIがChatGPT悪用の国家関与サイバー攻撃10件を阻止 中国・ロシア・北朝鮮の手法を分析
ChatGPTがマルウェア開発を補助した実例をOpenAI自身が特定・停止。AI悪用の系譜を押さえる記事。
【編集部後記】
彼を「とんでもないことをした」と切り捨てるのは簡単です。でも、そうやってフタをしてしまうと、たぶん大事なものが一緒に見えなくなってしまう気がしました。小学生の頃から一人でプログラミングを覚え、通信の仕組みを解き明かすのが楽しくてたまらなかった——その姿は、少し形が違えば、私たちが「頼もしい」と拍手を送っていたはずのものでした。
そして、もうひとつ引っかかっているのが、彼が使った道具のことです。今この文章を読んでいるあなたも、おそらく一度は触れたことがあるであろう、あのAI。それが、守るための力にも、壊すための力にも、同じ顔で応えてしまう。この事実は、誰か遠くの悪い人の話ではなく、私たち自身のすぐ隣にある話だと感じています。
だからこそ、技術そのものを怖がって遠ざけるのではなく、その力をどこへ向けるのかを、使う一人ひとりが考えていくしかないのだと思います。同時に、道を踏み外しかけた才能を、もう一度こちら側へ引き戻せる社会であってほしい。彼のこれからが、罰で閉じるのではなく、やり直しへと開かれることを願わずにいられません。
【用語解説】
偽計業務妨害(ぎけいぎょうむぼうがい)
偽りの情報や計略を用いて、他人の業務を妨げる犯罪である。刑法233条に定められ、今回はサーバーへ虚偽の情報を送って大量の退会処理を実行させた行為がこれにあたるとされた。
不正アクセス禁止法
他人のIDやパスワードを無断で使う、あるいはシステムの穴を突いて許可なく侵入する行為を禁じる法律である。今回の少年は、まずこの容疑で逮捕されている。
脆弱性(ぜいじゃくせい)
ソフトウェアやシステムに存在する設計・実装上の弱点のこと。放置すると不正アクセスの入口になる。今回は通信内容の解析を通じてこの弱点が見つけられたとされる。
IPアドレス
インターネット上で通信機器を識別するための番号である。特定・遮断の手がかりになるが、変更することで追跡や遮断を一時的に回避できる場合がある。
ランサムウェア
データを暗号化し、復旧と引き換えに金銭を要求する不正プログラムの総称である。今回の事案は、運営会社によってランサムウェア攻撃ではないと確認されている。
生成AI
文章やプログラムコードなどを自動生成する人工知能の総称である。ChatGPTが代表例で、便利な道具である一方、悪用時には攻撃の技術的ハードルを下げうる点が今回の論点となった。
バンダイナムココイン
バンダイナムコID関連サービスで使える電子マネー(残高)である。今回、漏えいの可能性がある情報の一つとして挙げられた。
【参考リンク】
バンダイチャンネル(公式)(外部)
バンダイナムコフィルムワークスが運営するアニメ・特撮の動画配信サービス。今回のサイバー攻撃で一時停止した当事者サービスである。
株式会社バンダイナムコフィルムワークス(公式)(外部)
バンダイチャンネルの運営会社。アニメ制作・映像事業を手がけ、会社情報やお知らせを掲載する運営主体の公式サイトである。
ChatGPT(OpenAI公式)(外部)
今回プログラム作成の補助に使われたとされる対話型生成AI。開発元OpenAIの公式ページで機能や利用ポリシーを確認できる。
個人情報保護委員会(PPC)(外部)
個人情報の適正な取り扱いを監督する国の機関。運営会社が最終報告書を提出した先で、漏えい時の報告制度や指針を確認できる。
警視庁 サイバー犯罪対策(外部)
今回の逮捕を担った警視庁のサイバー犯罪情報ページ。被害相談窓口や注意喚起、防犯対策の情報を発信する公的サイトである。
【参考記事】
Japanese teen arrested for booting users off streaming service(The Japan Times)(外部)
漏えい規模を最大136.6万件と単位「件」で報じ、約30回のIP変更や約4.6万アカウント退会の手口も伝えた英字紙の記事。
Japanese teen arrested over cyberattack that disrupted anime streaming service(The Record)(外部)
退会4.6万件超と報じ、6月の先行逮捕からの経緯を解説。親会社が2022年にも攻撃を受けた文脈も補強する専門メディア。
15-year-old arrested in Japan over alleged cyberattacks using ChatGPT-generated malware(AUTOMATON WEST)(外部)
小4からの独学、通信解析での脆弱性発見、約30回のIP変更など手口を詳述。「会社に恨みはない」との供述も伝える。
15-Year-Old Arrested Over Bandai Channel Cyberattack Using a ChatGPT-Assisted Tool(Cyber Security News)(外部)
「生成AIが攻撃の技術的ハードルを下げる」論点を明確に打ち出し、AI支援による自動化と位置づけた解説記事である。
Saitama boy, 15, used ChatGPT to hack Bandai anime streaming site(TokyoReporter)(外部)
退会数を4万6812件と明示し、TBS Newsを出所として記載。運営会社の再発防止コメントも掲載した英字ニュース。
4.6万アカウントを勝手に退会処理、高1男子逮捕(時事ドットコム)(外部)
警視庁発表の逮捕容疑事実を忠実に伝える国内報道。逮捕日時や退会件数、先行逮捕の事実を確認する根拠に用いた。
「バンダイチャンネル」4万6812人退会のサイバー攻撃、高校生を再逮捕(スマートニュース掲載報道)(外部)
6月13日逮捕→7月再逮捕の二段階の時系列と、ソースコード自作+ChatGPTでの言語変換という関与度を確認した報道。












