中高生たちによる楽天モバイル攻撃を考える（396号）

2025年2月末に、中高生の3人組が楽天モバイルに不正ログインを行って、当人の知らぬ間に追加回線の契約を行い、その回線の使用権を第三者に売るという事件が起きました。

この事件は「中高生がAIを使って不正を働いた」ということで、通常の不正アクセスの事件以上に注目を集めました。

今回はこの事件の内容と、そこから得られる教訓についてお話をします。

なお、この記事は2025年3月9日時点の情報を元にお話しています。
事実と異なる可能性がありますので予めご了承ください。


1. 事件の概要

2025年2月27日に、警察から発表がありました。
中高生3名が楽天モバイルのシステムに不正ログインを繰り返し、多数のサブ回線契約を行った上で、その利用権を第三者に売りさばいていたとのことです。

中高生3名はオンラインゲームで知り合い、主犯格の中学生が楽天モバイルのシステムを悪用して金銭を得るスキームを考案し、3名でそれを実施していたとのこと。

スキームというのは、以下の通り。
　1. ID/パスワードを不正に入手
　2. それで楽天モバイルに不正アクセス
　3. 当人になりすましてeSIMを契約
　4. そのeSIMのインストール用QRコードを転売

通常はモバイル契約をすると物理SIM（スマホ契約時にもらえる小さな基板みたいなの）を受け取るわけですが、一部サービスではeSIMという物理SIMを必要としない契約ができます。その代わりに事業者（楽天モバイルなど）が提供するeSIMデータを端末にインストールする必要があります。
eSIMなら、物理SIMの郵送も不要ですし、一つの端末で複数のキャリアと契約ができます。筆者もスマホでは通話用の物理SIMとデータ通信用のeSIMを併用しています。

本件はこの利便性を悪用した方式のようです。
つまり、eSIMのインストールに必要なURL（実際にはQRコード）を第三者に売却していたようです。

一方で、大きくクローズアップされたAIの利用という側面ですが、それほど積極的に活用していたというわけではないようです。
プログラム作成はグループのうちの高校生が大半を自作していたとのこと。

せっかくの立派なスキルを、世のため人のために活かせる技術を、こんな形で浪費されると悲しくなります。


2. 被害者とならないために

さて、本件のように勝手に契約されてしまうケースでは被害に気づきにくいのは事実ですが、それでも被害を避けることはできます。

まず、今回の事例で改めて感じることが、パスワードの使い回しの危険性です。

本件では、パスワードの使い回しをしている人だけが被害に会っています。

そう断言できるのは、彼らの攻撃パターンがパスワードの使い回しを前提とした攻撃だからです。
中高生のグループはIDとパスワードのリストを大量に（報道によれば30億件以上）購入し、それを元に攻撃を行っています。
このリストが楽天モバイルから漏洩した可能性はまずありません。楽天モバイル側が明快にプレスリリースで否定しているからです。

ということは、彼らは楽天モバイル以外のサービス用のリストで攻撃をしています。にも関わらず被害が生じるということは、そのリストでログインできるケースがある、つまり同じパスワードを多数のサービスで使い回している人がいる、ということです。

逆に言えば、パスワードが1文字でも違えば被害には会わないのです。
その意味で、本件はパスワードの使い回しの怖さを如実に伝える事例といえます。

これを読んで不安に感じる方は是非、以下のバックナンバーをご覧ください。
　・パスワードの作り方2024（375号）（2024年10月配信）
　　https://note.com/egao_it/n/n6f5be9b7502e 
　・それでも自力でパスワード管理する方法2024（376号）（2024年10月配信）
　　https://note.com/egao_it/n/n774b30278f9a 

既に被害を受けている場合は、パスワード変更が手遅れの可能性もあります。
その場合でも、被害に気づくことは可能です。

一つはeSIMの追加契約時に送られてくる案内メール、もう一つは翌月のカード等の請求内容です。

こういったアラーム（警告）に気づくためにも、契約時には日常的にチェックするメールアドレスを使うことや、カードの請求明細の確認は大切です。


3. 楽天モバイルは何をしていたのか？

次は、楽天モバイルという事業者をシステム開発者から見た視点でのお話です。

今回の件では楽天モバイル側もまた被害者なのですが、不思議な点がいくつかありました。
一つは、なぜ大量のログイン試行に気づけなかったのかという点、もう一つはシステム全体が利便性重視に偏りすぎていなかっただろうかという点です。

一般的に、同じパソコンやスマホからログインを大量に試行しようとすると、システム監視アラート（警告）が上がります。
つまり、悪意を持った不正ログインかもしれないぞ！という警告です。

一般利用者がパスワードを間違ったとしても、それはせいぜい数十回程度の試行回数に留まります。また、この場合メールアドレスなどのIDは変更されないことが多いでしょう。
こんな場合は本当の利用者がパスワード入力を間違ったんだな、とシステムは理解しますので、アラートは上がりません。

それに対して、同じパソコンやスマホから数千数万のメールアドレスとパスワードを次々とリクエストしてくるとなると、これは明らかに異常です。
こういったアクセスは悪意のアクセスとみなし、ブロックする（一切リクエストを受け付けずに門前払いする）という対応が取られます。

楽天モバイルといえば、今や800万回線もの契約を誇る大規模サービスです。その大規模サービスが上記のようなシステム監視を行っていないはずがありません。
にも関わらず、今回の中高生の攻撃が成功してしまっているのです。
筆者にはこの事実がどうにも解せません。

大量の不正ログインを試行する場合、犯罪者たちは分散攻撃をしかけます。
つまり、たくさんのコンピュータを用意して、単一の端末から短時間に大量のログイン試行を行わないようにします。
こうすることで、あたかも善意の利用者がパスワードを数回間違っているように見せることで、上記のシステム監視のアラートを避けるのです。
こういった分散攻撃のプロ（もちろん犯罪者）もいて、有償でこういった依頼を請け負うのです。

中高生らがこういった非合法の分散攻撃サービスを利用していたのかもしれませんが、現状ではそのような報道は見当たりません。この点については今後明らかになっていくことでしょう。

もう一点の指摘は、楽天側のサービスが利便性重視、安全性軽視なシステムデザインとなっていた可能性についてです。

利便性と安全性のバランスというのは極めて判断が難しいものです。ですので、必ずしも楽天モバイル側に非があると責められるものではありません。

今回の事件を踏まえると、eSIMのインストール時にはQRコードだけで誰でもインストールできてしまう現状はかなり危険です。インストール直前に再度の本人認証を行えば、今回の事件は発生しなかったわけです。

とはいえ、今回のような事例が起きない限り「それは心配しすぎだってば。そんなことは起きないよ（笑）」といった意見を押し戻すことは難しいのです。
利用者の利便性を優先すると、毎回の本人認証なんて問題外なわけです。

かといって、安全性を重視しすぎると何をするにも本人確認が必要となりますので、今度は使い勝手の悪いシステムになり、お客様の支持を失うかもしれません。

きっとシステム開発時にもさんざん議論がなされたはずです。
利便性と安全性の天秤のバランスを取るのは、このように非常に難しいわけです。


4. まとめ

2025年2月に中高生による楽天モバイルでの不正アクセスによるモバイル通信の転売事件が警察庁により発表されました。

この事件では、楽天モバイルの利便性重視のシステムの弱点を突く形で不正にモバイル回線の契約を行い、その回線を第三者に転売するという仕組みを考案し、そのための不正侵入プログラムも含めて自作していたとのことです。

当人らは容疑を認めているとのことですが、最初にも書いたとおり、世のため人のために活かせる技術をこんな形で使われるととても悲しくなります。

今回の事件では、利用者への教訓とシステム運営側への教訓がありました。

利用者に対しては、何よりもパスワードの使い回しをしないことです。
今回の攻撃はパスワードの使い回しを前提としており、パスワードの使い回しをしていない人はおそらく被害に会っていません。

一方で、システム運営側に対しては、過度な利便性重視は被害を拡げることを改めて認識していただきたいと思います。

厳しくすればいいというものではないのですが、利便性と安全性のバランスは時代に応じて変化します。
そう考えるとシステムが安定稼働しているから現状維持というだけでは、時代の流れに遅れ、ひいては今回のような被害を生み出す可能性があるという点は指摘しておきます。

今回は楽天モバイルへの攻撃についてお話しました。
次回もお楽しみに。

（本稿は 2025年3月に作成しました）