Research
Research

by nicoxz

楽天モバイル不正契約、19歳少年が500万件のID入手か

by nicoxz
URLをコピーしました
#楽天モバイル #サイバー犯罪 #不正アクセス #eSIM #個人情報

はじめに

携帯電話大手「楽天モバイル」をめぐる不正契約事件が、新たな展開を迎えています。2026年3月10日、警視庁サイバー犯罪対策課は、楽天モバイルの通話回線を他人名義で不正に契約できるサイトを運営していたとして、東京都内に住む19歳の無職の少年を電子計算機使用詐欺ほう助の疑いで逮捕しました。

注目すべきは、この少年が約500万件もの楽天IDとパスワードを保有していたという点です。楽天グループの会員数が1億超であることを考えると、その約5%に相当するIDが流出していた可能性があります。本記事では事件の全容と、携帯回線不正契約の手口、そしてユーザーが取るべき対策について解説します。

事件の全容

逮捕された少年の手口

逮捕された19歳の少年は、海外のサイトから約500万件の楽天IDとパスワードを不正に入手していました。そしてこれらの認証情報を悪用し、仮想通貨(暗号資産)を支払った利用者が他人の楽天アカウントを使って楽天モバイルの回線を不正に契約できるウェブサイトを構築・運営していたとされます。

サイトを通じた不正契約は2024年6月からの半年間で約1,000回線に上り、少年は約60万円を売り上げたとみられています。また同日、北海道旭川市在住の高等専門学校生の男(20)も電子計算機使用詐欺の容疑で逮捕されており、この男は不正入手した顧客のIDとパスワードを使い計4回線を契約した疑いが持たれています。

なぜeSIMが狙われたのか

楽天モバイルが狙われた背景には、eSIMの仕組みと当時の本人確認体制の問題があります。楽天モバイルでは1つのアカウントで最大10回線の契約が可能で、2回線目以降は本人確認なしで契約できる運用になっていました。

eSIMは物理的なSIMカードを必要とせず、オンラインで即座に回線を開通できるため、不正契約に悪用されやすい特性があります。犯行グループはこの仕組みを利用し、盗んだIDでログインした後、追加回線としてeSIMを大量に契約していたのです。

「荒らし共栄圏」との関連

今回の事件は、2025年から断続的に摘発が続いている楽天モバイル不正契約事案の一連の流れに位置づけられます。2025年2月には、「荒らし共栄圏」と呼ばれるインターネット上のグループに所属する中高生3名が逮捕されています。

東京新聞の報道によれば、荒らし共栄圏はウェブサイトの改ざんや誹謗中傷、脅迫行為などを行っていたグループで、そのリーダーとされる17歳の少年が他人のIDで楽天モバイルの回線を不正契約した疑いで逮捕されました。このグループでは、少なくとも2,500回線が不正に契約され、1回線あたり1,000円から3,000円で転売することで計750万円相当の暗号資産を得ていたとされています。

500万件のID流出が示すリスク

クレデンシャルスタッフィングの脅威

約500万件のIDとパスワードの入手経路として考えられるのは、いわゆる「クレデンシャルスタッフィング」です。これは、過去に他のサービスから流出したIDとパスワードの組み合わせを使い、別のサービスへのログインを試みる攻撃手法です。

多くのユーザーが複数のサービスで同じパスワードを使い回しているため、一度どこかで流出した認証情報は、他のサービスでも有効である可能性があります。海外の闇市場では大量の認証情報リストが売買されており、今回の少年もこうしたルートから入手した可能性が高いとみられます。

不正利用の広がり

不正に契約された回線は、特殊詐欺や犯罪行為の連絡手段として使われる恐れがあります。匿名性の高い回線は犯罪者にとって需要が高く、転売市場が成立しています。piyologの分析によれば、不正に契約されたeSIM回線は暗号資産を通じて取引され、最終的に犯罪グループに流通していた可能性があります。

楽天モバイルの対策と業界の動き

本人確認の強化

楽天モバイルは事件を受けて本人確認体制の強化を進めています。eKYC(電子本人確認)の導入を拡大し、顔写真と身分証明書のリアルタイム照合を行う仕組みを整備しています。また、2026年4月1日からは携帯電話不正利用防止法の改正に対応した新たな本人確認方法が導入される予定です。

さらに、身に覚えのないeSIMの再発行を防止するため、再発行申請時に追加の確認手続きを設ける措置も講じられています。

利用者が取るべき対策

この事件から利用者が学ぶべき教訓は明確です。まず、パスワードの使い回しを避けることが最も重要な対策です。楽天IDに限らず、各サービスで固有の強力なパスワードを設定し、パスワードマネージャーの利用を検討してください。

また、二段階認証の設定も有効です。楽天アカウントでは二段階認証を有効にすることで、IDとパスワードが漏洩した場合でも不正アクセスを防ぐことができます。定期的にログイン履歴を確認し、不審なアクセスがないかチェックする習慣をつけることも推奨されます。

注意点・展望

今回の事件は、若年層によるサイバー犯罪の深刻化を改めて浮き彫りにしました。逮捕された少年たちの多くは10代であり、独学やAIツールを活用してプログラムを開発していたことが明らかになっています。技術へのアクセスが容易になる一方で、その悪用に対する教育や抑止力が追いついていない現状があります。

携帯電話事業者にとっても、利便性とセキュリティのバランスは永続的な課題です。eSIMはオンラインで手軽に契約できる反面、不正利用のリスクも高まります。業界全体として本人確認の厳格化が求められる中、ユーザーの利便性をどう維持するかが問われています。

まとめ

楽天モバイルの不正契約事件は、約500万件のIDが不正入手されていたという衝撃的な規模が明らかになりました。eSIMの利便性を逆手に取った手口は巧妙であり、本人確認体制の不備が悪用された形です。

利用者としては、パスワードの使い回しを避け、二段階認証を設定するという基本的なセキュリティ対策が依然として最も効果的な防御策です。今後も同様の事件が発生する可能性は否定できず、通信事業者とユーザーの双方がセキュリティ意識を高めていくことが求められます。

参考資料:

関連記事

最新ニュース