Nach Darstellung der Tokyo Metropolitan Police Department lebt der nicht namentlich genannte Schüler in einer Stadt nahe Tokio. Er soll eine Schwachstelle in den Servern von Bandai Channel ausgenutzt haben, um massenhaft unberechtigte Kündigungen von Nutzerabonnements auszulösen. Betroffen waren laut Polizei mehr als 46.000 Abos.
Die Ermittler gehen davon aus, dass der Jugendliche die Schwachstelle identifizierte, indem er den Netzwerkverkehr des Dienstes analysierte. Anschließend habe er mit ChatGPT ein Schadprogramm erstellt, das die Angriffe automatisierte. Im November 2025 soll er betrügerische Daten an die Server des Unternehmens geschickt haben. Das führte laut Polizei dazu, dass Tausende Konten gekündigt wurden und der Dienst zeitweise eingestellt werden musste.
Der Schüler war bereits im Juni festgenommen worden. Damals stand der Verdacht im Raum, dass er sich mit dem Konto eines anderen Nutzers bei der Plattform angemeldet hatte. Nach Angaben der Polizei brachte erst die anschließende Untersuchung ihn mit dem umfassenderen Angriff auf Bandai Channel in Verbindung.
Laut Polizei räumte der Jugendliche die Vorwürfe ein. Gegenüber den Ermittlern habe er erklärt, keinen Groll gegen das Unternehmen zu hegen. Außerdem habe er angegeben, sich das Programmieren selbst beigebracht zu haben und Freude an der Analyse von Netzwerkkommunikation zu haben.
Der Betreiber des Dienstes erklärte damals, die Störung habe dazu geführt, dass die Plattform für mehr als einen Monat ausgesetzt werden musste. In dieser Zeit seien die Systeme repariert und betroffene Abonnenten erstattet worden.
Nach Angaben der Polizei sperrte das Unternehmen den Zugriff des Verdächtigen, nachdem die Angriffe erkannt worden waren. Dennoch habe er die unbefugten Kontokündigungen fortgesetzt, indem er wiederholt seine IP-Adresse änderte.
Das Unternehmen meldete den Vorfall im November der Polizei. Die Ermittler identifizierten den Verdächtigen nach eigenen Angaben durch die Analyse von Kommunikationsdaten.
Bandai Channel gehört zu einem der größten Unterhaltungskonzerne Japans, der auch einige der weltweit bekanntesten Videospielreihen veröffentlicht. Die Muttergesellschaft hatte bereits 2022 einen Cyberangriff offengelegt, bei dem Kundeninformationen nach unbefugtem Zugriff auf Systeme mehrerer asiatischer Tochtergesellschaften offengelegt worden sein könnten. Zu diesem Vorfall bekannte sich später die Ransomware-Gruppe AlphV.
