やじうまWatch
「スクリプトキディ」から転じた、AIを悪用して攻撃プログラムを生成する「プロンプトキディ」とは?
2026年7月8日 11:58
動画配信サービス「バンダイチャンネル」の4万件以上のアカウントに対する退会処理を勝手に行ったとして15歳の少年が逮捕されたと、多数のメディアが報じている。少年は攻撃プログラムをChatGPTで作成したという点が、テレビなどでは特に注目を集めているようだ。生成AIで攻撃プログラムを作成した類似の事件では、2025年2月に楽天モバイル会員の回線契約を不正に解約させたとして16歳の少年らが逮捕された事件など、過去にも複数報じられている。
生成AIでサイバー攻撃のためのプログラムを作成する人物への悪口・蔑称として「プロンプトキディ」(Prompt Kiddie)という言葉がある。海外の老舗用語解説サイト「Urban Dictionary」では、「LLMやLLMエージェントにハッキングを任せ、その仕組みを学ぼうとしない脅威アクター。プロンプトキディは『スクリプトキディ』の卑劣で低スキルなバージョン」と容赦がない。
スクリプトキディは、他者から購入した、あるいは公開されているプログラムを使ってサイバー攻撃を実行する攻撃者を指す。この言葉は、比較的低レベル、あるいは「ありふれた手口」による攻撃を想定したセキュリティ水準の目安として使われることもあり、例えば、IoT製品のセキュリティラベリング制度「JC-STAR」★1については「スクリプトキディレベル(限定的な専門知識のみを有し、インターネットやダークウェブなどで公開されているクラックツール等を用いてシステムの脆弱性を利用して攻撃するレベル)の攻撃(不正アクセスや盗聴など)に対して実用的な耐性を持たせる」との説明がされている。
プロンプトキディはスクリプトキディから転じて生まれた言葉だと考えられるが、その攻撃は、低レベルとも言い切れない。生成AIで作られる攻撃プログラムは、同じプロンプトで生成しても毎回異なる可能性があることから、対策の難度は高くなる。それに、生成AIを使って攻撃プログラムを作ったことだけで「低スキル」だとも言い切れない。
言葉として登場はしたものの対象の実態を推し量ることは難しく、また、生成AIを悪用したサイバー攻撃の手口はプログラム作成に限らないこともあってか、プロンプトキディという言葉はさほど広まっていない。このことは、AIを用いたサイバー攻撃を対策することの難しさも表しているかのようだ。
- 中学3年時に「サイバー攻撃」か 15歳少年を逮捕 ChatGPTでプログラム作り「バンダイチャンネル」の4万6000人あまりを勝手に退会させる(TBS NEWS DIG)
https://newsdig.tbs.co.jp/articles/-/2784153 - Urban Dictionary: prompt kiddie
https://www.urbandictionary.com/define.php?term=prompt+kiddie - JC-STAR制度概要説明資料(IPA)
https://www.ipa.go.jp/pressrelease/2024/nl10bi0000003f1x-att/press20250325.pdf - 便利なAIだが、その裏にはリスクも! トレンドマイクロにAIを悪用したサイバー攻撃の動向を聞くhttps://internet.watch.impress.co.jp/docs/special/2048018.html