【生成AI×サイバー犯罪】楽天モバイルの行政指導から読み解く「攻撃の新しい当たり前」

はじめに

本連載では、生成AIコミュニティ「IKIGAI lab.」に所属する各分野の専門家が、それぞれの視点から最新のAIトレンドとビジネスへの示唆を発信しています。本記事を通じて、皆さまが“半歩先の未来”に思いを馳せ、異なる価値観や視座に触れていただければ幸いです。

前回の記事では、新しく登場したGPT-5の特徴や可能性について取り上げました。今や生成AIは、私たちの生活や仕事に深く入り込み、「もうなかった時代には戻れない」と言えるほど便利で、しかも日々進化を続けている存在です。

ただ、その光の裏には影もあります。生成AIは新しい価値を生む一方で、不正利用や犯罪の加速といった負の側面も抱えているのです。本記事では、国内外で生成AIが悪用された犯罪事例と、その対策について解説します。

楽天モバイル行政指導の要約：見逃された「報告の速度と質」

8月19日、総務省は楽天モバイルに対し、eSIMの不正契約や「my楽天モバイル」への不正ログイン、さらに総務大臣への報告遅延を理由に行政指導を実施しました。事案の要点は3つあります。

第一に、複数の少年らが不正入手したID・パスワードでログインし、通話先番号やSMS送受信先など“通信の秘密”に相当する情報を閲覧可能にしたこと。第二に、不正契約が少なくとも7,000回線規模で発生し、一部は転売された疑いがあること。第三に、2月の認知から6月の正式報告まで約3カ月の遅延があり、“遅滞なき報告”に反した点です。総務省は同社に体制の抜本的見直しと定期報告を求めました。

今回の事件自体は従来型の不正アクセスに分類されますが、背景には攻撃手法の自動化・高度化を可能にする生成AIの存在があります。生成AIは新しい犯罪を生むだけでなく、既存の手口を“より速く・巧妙に・安価に”実行する増幅器として機能し、攻撃側の「時間短縮」を助長します。そのため、防御側には初動対応の迅速化や緊急時の権限移譲を含む機動的なガバナンスが不可欠となっています。

【出典】
「総務省、楽天モバイルに行政指導＝不正アクセス事件で報告遅れ」(nippon.com 2025/8/19)
「総務省、楽天モバイルに行政指導。2月に認識された不正契約・不正ログイン事案の報告遅れで」(INTERNET Watch 2025/8/20)

日本のサイバー犯罪事例：3つの"増幅ポイント"

生成AIでマルウェアを作成—"作れる人"の裾野拡大

2024年5月、警視庁は対話型生成AIを使ってランサムウェアを作成したとして男性を逮捕しました。10月には有罪判決も報じられています。プログラミング経験が浅い人でも、生成AIと対話しながら修正を繰り返すことで攻撃コードが作成できてしまう—『専門技能が必要』という従来の前提が崩れつつあることが分かります。国内での立件は珍しく、犯罪者にとっての"参入障壁"が下がったことを象徴する事例と言えるでしょう。

【出典】
「生成AIでランサムウェアを作成した容疑者の摘発事例を考察」(Trend Micro 2025/05/01)
「Police arrest man after computer viruses created by misusing AI」(The Asahi Shimbun 2024/05/28)

生成AIで作った"性的ディープフェイク"を販売—"架空の人物"でも違法

2025年4月、生成AIで作成した"存在しない女性"のわいせつ画像ポスターをオンラインで販売した疑いで4人が逮捕されました。全国初の摘発として報じられています。販売手法も巧妙で、オークション出品時は一部を隠し、購入後に無修正版を送るなど、販売スキーム自体も高度化しています。無断の性的ディープフェイクが氾濫しやすい構造が明らかになりました。

【出典】
「生成ＡＩでわいせつポスター 販売容疑で４人逮捕、全国初―警視庁」(時事通信 2025/04/15)
「4 arrested in Japan for selling explicit AI-created posters」(Kyodo News 2025/04/15)

「大手通販そっくり」偽サイトを生成AIで作成—認証情報収集の効率化

2025年6月、大手ECサイトに酷似した偽サイトを生成AIで作成し、ID・パスワードを入力させて不正取得した疑いで男性が逮捕されたと報じられました。ページデザインやロゴ風画像、説明文などが自動生成により"本物そっくり"に量産され、フィッシング攻撃のコストが劇的に下がることを示した事例です。

【出典】
「AI作成の偽サイトをAI用いて捜査、フィッシングサイト作成の男2人を逮捕 大阪府警」(ITmedia NEWS 2025/06/23)

海外事例：長期型の「Pig Butchering」詐欺にAIが拍車

海外では恋愛・投資を装って長期間にわたり信頼関係を築き、最終的に偽の暗号資産投資へ誘導する「Pig Butchering」詐欺が拡大しています。2024年の詐欺収益は少なくとも99億ドルに上り、生成AI の活用により自然な対話・高度な言い回し・本物そっくりの投資サイトが普及し、手口が"プロ化"していると複数の報道と調査が指摘しています。

【出典】
「Crypto scams likely set new record in 2024 helped by AI, Chainalysis says」(Reuters.com 2025/02/15)
「US sanctions Philippines digital infrastructure provider linked to virtual currency scams」(Reuters.com 2025/05/30)

生成AI犯罪に立ち向かう—実践的な４つの防御策

別チャネルで確かめる—音声も映像も、まずは疑ってよい

お金や重要な権限が動く場面では、どれほど自然な音声・映像でも別の方法での本人確認をお勧めします。社内電話帳の直通番号への折り返し確認や、担当者2名によるダブルチェックと待機時間を作業手順に組み込むことが有効で、「その場では決めない権限設計」が最後の砦となります。

対策を組み合わせる—見分けにくい時代のメール・Webサイト対策

AIが攻撃の規模と巧妙さを高めている現状を踏まえ、複数の防御策を重ね合わせることが重要です。メール認証技術の導入、安全なインターネット閲覧環境、ブランド保護などを組み合わせます。従業員教育も「不自然な日本語を探す」から「取引内容の異常さで判断する」へと方針転換が必要です。フィッシング詐欺は話の流れや状況の不自然さで見極める段階に入りました。

初動を"体で覚える"—最初の30分を訓練で固める

問題発見から最初の30分は、連絡網のテスト→記録の保全→封じ込め(パスワード変更・影響範囲の特定)→関係機関への連絡まで流れるように動く必要があります。これは火災訓練と同じで、頭で理解しているだけでは実際の緊急時に動けません。組織として休日・夜間の対応ルートまで"反射的に動ける"ようにしておくことが重要です。

「本物の証明」を先に用意する—コンテンツの"出所証明"

偽の画像や動画が拡散した際に、"公式の本物"を短時間で示せる体制は危機対応の生命線です。デジタル認証技術や電子署名付きの配布方法を重要な部門から始め、受け手側も出所確認を当たり前の習慣にすることが求められます。これは商品の「正規品証明シール」と同じ考え方で、偽物への対抗策は本物であることの証明にあります。

【出典】
「The near-term impact of AI on the cyber threat」(The National Cyber Security Centre 2024/01/24)
「AI Drives Rise in CEO Impersonator Scams」(THE WALL STREET JOURBNAL 2025/08/18)

まとめ：生成AIへの理解が自分の身を守る

本記事では、楽天モバイルへの行政指導から国内外のAI犯罪事例まで、生成AIが既存の手口を「より速く・巧妙に・安価に」実行する増幅器として機能している現実を見てきました。ランサムウェア作成、ディープフェイク販売、フィッシングサイト量産、海外の「Pig Butchering」詐欺など、共通するのは「参入障壁の劇的な低下」です。

従来の「不自然な日本語を探す」「怪しいサイトの特徴を覚える」といった対策では、人間が見分けにくいレベルまで自然化した攻撃に対応できません。重要なのは技術的な巧妙さではなく、取引や状況の異常性に着目することです。どれほど自然な音声・映像でも別チャネルでの本人確認を徹底し、複数の防御策を組み合わせ、初動対応を訓練で身につけること、これらは技術進歩に左右されない本質的な防御思想です。

なんでも生成AIに聞けば答えが返ってくる便利な時代だからこそ、私たちには一層の判断力や分析力が求められています。「もうなかった時代には戻れない」生成AIの恩恵を享受しながら、その影の部分にも正面から向き合う—本記事が「生成AIがないと回らない」という依存ではなく、「生成AIを適切に活用するために私たちはどのような力をつけるべきか」を考えるきっかけになれば幸いです。技術と人間の知恵を組み合わせた防御体制の構築こそが、AI時代を生きる私たちの責務なのです。