バンダイチャンネル不正アクセス事件、高1男子生徒を再逮捕 ChatGPT悪用で4万6812人退会処理
アニメ配信サービス「バンダイチャンネル」が突然停止し、約1カ月半にわたり利用できなくなった騒動を覚えているだろうか。
この裏には、当時中学生だった少年が対話型生成AI「ChatGPT」を使って不正プログラムを自作し、約4万6812件ものアカウントを勝手に退会させていたという事実があった。
2026年7月、埼玉県所沢市の高校1年男子生徒(15歳)が偽計業務妨害容疑で再逮捕され、事件の全容が明らかになりつつある。
生成AIが未成年による大規模サイバー犯罪の「実装力」を補ってしまった今回のケースを、時系列と数字で整理する。
バンダイチャンネルで何が起きたのか
「バンダイチャンネル」は、バンダイナムコフィルムワークスが運営するアニメ・映像の定額配信サービスだ。2025年11月4日17時から20時46分ごろにかけて、外部から何者かがサーバーに接続し、会員約4万6812アカウントの登録を本人の意図に反して解除するという事態が発生した。
これを受けてバンダイナムコフィルムワークスは同年11月6日23時30分に全サービスを緊急停止。さらに11月19日には、最大約136万6000件の会員情報が漏えいした可能性があると公表した。サービスが再開したのは約43日後の12月19日正午だった。
この間、警視庁サイバー犯罪対策課が捜査を進め、2026年6月13日に埼玉県所沢市の男子生徒(当時14歳、事件発生時は中学3年)を不正アクセス禁止法違反の疑いで逮捕した。この時点ではいったん処分保留で釈放されたが、7月4日に偽計業務妨害容疑で再逮捕され、7月6日までに事件の詳細が報道で明らかになった。
ChatGPTはどこまで「悪用」されたのか
今回の事件で最も注目されているのが、生成AIの関与の仕方だ。報道によれば、少年は小学4年生の頃からプログラミングを独学で学んでいたといい、趣味である通信解析(ネットワーク上でやり取りされるデータの中身を調べる技術)の過程で、バンダイチャンネルのシステムの脆弱性(ぜいじゃくせい、セキュリティ上の欠陥のこと)を発見したとされる。
読売新聞の報道では、会員のIDとパスワードなしでもサイト上からログインできてしまう抜け穴を見つけたという。問題は、この抜け穴を実際に数万件規模の退会処理へと拡大させるだけの実装力を、少年がChatGPTの力を借りて手に入れてしまった点にある。
警察の見立てでは、少年は「プログラムはChatGPTに聞いて完成させた」と供述しており、生成AIを補助的なコーディング支援として使ったとみられている。脆弱性そのものを見つけるのは根気があれば独学でも到達しうる領域だが、それを大量かつ継続的な攻撃プログラムに仕上げる工程には本来もっと高いスキルが要る。その差分を生成AIが埋めてしまったのだとすれば、これは氷山の一角に過ぎないだろう。
さらに見逃せないのが、少年が捜査の目をかいくぐるために約30回にわたってIPアドレス(インターネット上で機器を識別するための番号)を変更しながら犯行を継続していたという点だ。単なる出来心の悪ふざけというより、発覚を避けるための工作を織り交ぜた、相応に計画性のある行動だったとみるべきだろう。
逮捕までの経緯 なぜ「二段階」だったのか
今回の立件が二段階になっている点も見逃せないポイントだ。最初の逮捕は2026年6月13日、容疑は不正アクセス禁止法違反だった。しかしこの時点ではいったん処分保留で釈放されている。
その後、警視庁は約4万6812アカウントを退会処理させてサービス停止に追い込んだ行為そのものを偽計業務妨害(ぎけいぎょうむぼうがい、うそや不正な手段で他人の業務を妨害する罪)と位置づけ、7月4日に改めて逮捕した。不正アクセス自体を罰する容疑と、その結果として企業に生じた実害を罰する容疑を、段階的に立件した形だ。
少年は容疑を認めており、「企業に恨みはなかった」「通信解析をしていたら偶然会員情報が見えた」「ログインできるアカウントがたくさんあったからやった」などと供述しているという。動機に明確な悪意や金銭目的が見当たらない点は、この種の少年犯罪にありがちな特徴でもある。技術力の高さと、行為の重大さへの想像力の乏しさが同居していたように見える。
被害の全容 136万6000件という数字の重み
直接的な被害として確定しているのは約4万6812アカウントの強制退会だが、それよりはるかに大きいのが情報漏えいの「可能性」の規模だ。バンダイナムコフィルムワークスは、最大で約136万6000件の会員情報が外部から閲覧可能な状態になっていたおそれがあると公表している。
漏えいの可能性がある情報は、次のような項目だとされる。
- 登録メールアドレス
- 会員が設定したニックネーム
- バンダイナムココイン(バンダイナムコグループの共通ポイントサービス)の残高情報
- 登録している支払い方法の種別
一方で、ログインパスワードやクレジットカード番号など、決済に直接悪用できる情報は含まれていなかったという。これは不幸中の幸いだが、メールアドレスとニックネームの組み合わせだけでも、フィッシング詐欺などの二次被害につながるリスクは十分にある点は見落とせない。
100万件を超える規模の情報が「漏れたかもしれない」状態に置かれたこと自体が、企業の信用に与えるダメージは小さくない。サービスは約43日間ものダウンタイムを強いられ、その間の利用料金については返金対応が取られている。復旧までにこれだけの時間を要したことは、被害の深刻さを物語っている。
サービス停止から再開までの約43日間は、バンダイナムコフィルムワークス側にとって、原因調査・脆弱性の修正・再発防止策の実装・警視庁への被害届の提出といった作業を並行して進める必要があった期間でもある。単なるシステム障害ではなく刑事事件としての証拠保全が絡む分、通常の障害対応よりも復旧に時間がかかったであろうことは想像に難くない。
主要な数字の一覧
| 項目 | 数値・内容 |
| 不正退会処理されたアカウント数 | 約4万6812件(2025年11月4日17:00〜20:46ごろ) |
| 会員情報漏えいの可能性 | 最大約136万6000件 |
| IPアドレス変更回数 | 約30回 |
| サービス停止期間 | 約43日間(2025年11月6日23:30〜12月19日12:00) |
| 初回逮捕から再逮捕までの期間 | 21日間(2026年6月13日〜7月4日) |
なぜこの事件が重く受け止められるべきか
この事件を単なる「未成年のいたずら」として片付けるべきではないと筆者は考える。生成AIの登場によって、これまでなら相応の専門知識がなければ実行できなかった大規模な攻撃が、独学レベルのプログラミング知識と対話型AIの組み合わせだけで実行可能になりつつあることを、今回の事件は示しているからだ。
企業側にとっても教訓は多い。少年が発見したという「IDとパスワードなしでログインできる抜け穴」は、本来であれば正規のセキュリティ診断で検出されているべき脆弱性だった可能性が高い。生成AIの普及を前提にした脅威モデルの見直しが、あらゆるオンラインサービス事業者に求められていると言えるだろう。
もう一つ考えたいのは、生成AIサービス側の責任範囲だ。ChatGPTのようなツールは、利用規約上は不正利用を禁止しているものの、「退会処理を大量に自動化するプログラムを書いて」という指示だけでは、必ずしも悪用目的だと判定しきれないのが実情だろう。悪意ある指示を検知する仕組みの精度向上は、生成AI事業者にとっても避けて通れない課題になりつつある。
加えて、少年自身の今後にも触れておきたい。事件発生当時14歳だった点は、少年法上の取り扱いにも影響する可能性がある。技術力を持て余した末に刑事事件の当事者となってしまった今回のケースは、教育現場や家庭における情報倫理教育の重要性を改めて浮き彫りにしたとも言える。
類似事件との比較から見える「生成AI犯罪」の裾野の広がり
生成AIを悪用したサイバー犯罪は、今回が初めてではない。2023年以降、フィッシングメールの文面作成やマルウェア(悪意のあるソフトウエア)のコード生成にChatGPTなどの生成AIが利用された事例は国内外で複数報告されてきた。ただ、今回の事件が際立つのは、実行犯が刑事責任年齢を迎えたばかりの少年であり、しかも大手エンタメ企業の会員基盤という影響範囲の広い対象を狙った点だ。
従来、サイバー攻撃の実行には相応の技術習得コストがかかるため、未成年による大規模攻撃は比較的まれだった。しかし生成AIが「知識の壁」を大きく下げたことで、技術習得コストと攻撃の実行力が切り離されつつあるのが実態だ。今回のように独学で脆弱性を発見できる技量があれば、あとはAIが実装面を後押ししてしまう構図は、他の未成年ユーザーにも当てはまりうる。
警視庁サイバー犯罪対策課がIPアドレスの変更履歴を約30回分たどって特定に至った捜査手法自体は、従来型のデジタルフォレンジック(電子機器に残る記録を解析する捜査手法)の延長線上にある。生成AIで攻撃の敷居が下がる一方、捜査側の追跡技術は着実に進化しており、匿名性を過信した犯行は結局のところ発覚を免れないという教訓も、今回の事件は示している。
補足情報 少年による不正アクセス事件と刑事処分の関係
日本の刑法上、14歳未満の行為は「触法少年(しょくほうしょうねん)」として刑事責任を問われず、家庭裁判所ではなく児童相談所などが対応の中心となる。今回の少年は事件発生当時14歳(中学3年)で、刑事責任を問える年齢の境界線上にいたことになる。事件発覚後に15歳・高校1年生となった現在は、通常の少年事件と同様に家庭裁判所での審判対象になるとみられる。
生成AIを悪用したサイバー犯罪は今後さらに増えるとみられており、警察庁も同様の手口への注意喚起を強めている。企業側では、退会処理のような重要な操作に本人確認や多要素認証(パスワードに加えてスマホ通知などでも本人確認を行う仕組み)を組み込む対策が、あらためて重要視されている。
まとめ
バンダイチャンネルへの不正アクセス事件は、約4万6812件の強制退会と最大136万6000件の情報漏えいの可能性という具体的な数字が示す通り、決して小規模な事件ではなかった。ChatGPTという身近なツールが攻撃の実装力を底上げしてしまった構図は、今後同種の事件が繰り返されるリスクを強く示唆している。
企業には脆弱性診断や本人確認の強化が、そして社会全体には生成AI時代の新しいリスクへの備えが、これまで以上に求められている。