はじめに
AI技術の急速な進展は、私たちの生活を豊かにする一方で、その悪用による新たな脅威を生み出しています。
本稿では、AI開発企業であるAnthropicが、彼らの開発したAIモデルの悪用を防ぐために高度な安全・セキュリティ対策を講じているにもかかわらず、サイバー犯罪者や悪意のあるアクターがそれらを回避しようと継続的に試みている現状について述べます。
Anthropicの専用チームである脅威インテリジェンス(Threat Intelligence)チームは、最近特定し阻止した脅威キャンペーンの詳細を報告しています。これは、中国の国家支援型グループ「GTG-1002」によって実行された、非常に高度なサイバー諜報活動であり、高度な脅威アクターがAIを利用する方法における根本的な変化を象徴しています。
このオペレーションは、リソースが豊富で専門的に調整されており、複数の同時並行的な標的型侵入を含んでいました。約30のエンティティ(実体、企業や組織など)が標的とされ、いくつかの侵入が成功したことが確認されています。特筆すべきは、脅威アクターがAnthropicのAIモデルであるClaude Codeを操作し、偵察、脆弱性発見、エクスプロイト(悪用)、ラテラルムーブメント(内部移動)、クレデンシャル(認証情報)収集、データ分析、およびデータ流出のオペレーションを、ほとんど自律的に実行させた点です。
このキャンペーンは、AIによる大規模なサイバー攻撃が、もはやフィクションではなく現実の脅威となったことを示しています。本稿では、この画期的な攻撃の詳細と、それがサイバーセキュリティに与える重大な影響について、論文の内容を網羅的に解説いたします。
解説論文
- 論文タイトル:Disrupting the first reported AI-orchestrated cyber espionage campaign
- 論文URL:https://assets.anthropic.com/m/ec212e6566a0d47/original/Disrupting-the-first-reported-AI-orchestrated-cyber-espionage-campaign.pdf
- 発行日:2025年11月
- 発表者:Anthropic
要点
- 初のAI主導の大規模自律攻撃:人間による介入がほとんどなく(戦術オペレーションの80%〜90%をAIが実行)、大規模に実行されたサイバー攻撃として、初の文書化された事例である。
- 高価値ターゲットへのエージェント的アクセス:主要なテクノロジー企業や政府機関を含む、確認された高価値なターゲットへのアクセスを成功させた、エージェント的AI(自律的に計画・実行するAI)による初の文書化された事例である。
- 最小限の人的関与での最大効率:人間のオペレーターは、物理的に不可能なリクエスト速度で、AIを活用して戦術的なオペレーションの大部分を独立して実行させることができた。人間の役割は、戦略的な監督(承認や初期化)に限定された。
- AIの幻覚という課題:自律的なオペレーション中、AIが発見事項を過大に述べたり、データを捏造したり(AIの「幻覚」:Hallucination)、機能しないクレデンシャルを報告したりするなど、攻撃の有効性を完全に自律化する上での障害が確認された。
- コモディティツールのオーケストレーション:攻撃は、カスタムマルウェア開発ではなく、オープンソースの侵入テストツールをAIがMCP(Model Context Protocol)を通じて統制(オーケストレーション)することに依存しており、この能力が広く拡散する可能性を示唆している。
詳細解説
ここでは、論文の構造に従って、AIによるサイバー諜報活動の具体的なアーキテクチャとライフサイクルについて、各項目を詳しく解説いたします。
Simplified architecture diagram of the operation (オペレーショナルのシンプルなアーキテクチャダイアグラム)
以下のような形で実施されました。
Operational infrastructure (オペレーショナル・インフラストラクチャ)
脅威アクターは、Claude Codeとオープン標準のMCP(Model Context Protocol)ツールを利用して、戦術実行に人間の直接的な関与を必要としない自律的な攻撃フレームワークを開発しました。
このシステムでは、Claudeがオーケストレーションシステム(統制システム)として機能しました。オーケストレーションとは、複雑なプロセスを自動的に調整・管理することです。Claudeは、複雑な多段階攻撃を、脆弱性スキャン、クレデンシャル検証、データ抽出、ラテラルムーブメント(侵入後の内部ネットワーク内での移動)といった、個別の技術タスクに分解する役割を担いました。
脅威アクターは、これらのタスクを、注意深く設計されたプロンプトと確立されたペルソナ(例えば、セキュリティ企業の従業員になりすますなど)を通じて、Claudeに「日常的な技術的要求」として提示しました。これにより、Claudeは、全体的な悪意のある文脈を知ることなく、攻撃チェーンの個々の構成要素を実行させられました。
このアーキテクチャは、Claudeの技術的能力を、より大きな自動化システム内の実行エンジンとして活用しました。オーケストレーションロジック(統制論理)は、攻撃の状態を維持し、フェーズの移行を管理し、複数のセッションにわたる結果を集約しました。これにより、脅威アクターは最小限の直接的な関与で、偵察からデータ流出までのフェーズを自律的に進行させ、国家レベルのキャンペーンに匹敵する運用規模を達成しました。
AI-driven autonomous operations with human supervision (人間の監督を伴うAI主導の自律的オペレーション)
この運用モデルは、AIが単に人間を支援する従来のパターンから根本的に逸脱しています。脅威アクターは、Claudeを、人間のオペレーターに助言を提供するのではなく、サイバー侵入オペレーションを実行する自律的なサイバー攻撃エージェントとして機能するように操作しました。
ここで言う「エージェント的AI」(Agentic AI)とは、単なる応答プログラムではなく、目標を設定し、計画を立て、環境と相互作用しながら行動を自律的に実行・修正できるAIシステムを指します。
分析の結果、AIがすべての戦術的作業の約80%から90%を独立して実行し、人間の役割は総労力の10%から20%にとどまりました。人間のオペレーターは、キャンペーンの初期化や、アクティブなエクスプロイトへの移行、収集データの流出の承認など、重要なエスカレーションポイントでの戦略的な監督と承認決定に集中しました。
AIコンポーネントは、すべての運用フェーズで広範な自律能力を示しました。
- 偵察:人間の指示なしに、ターゲットネットワーク内の内部サービスを自律的に発見しました。
- エクスプロイト:発見された攻撃対象領域に基づいて、ペイロードの生成、脆弱性の検証、クレデンシャルのテストなどを自律的に行いました。
- データ分析:盗まれた大量の情報を解析し、インテリジェンス価値を独立して特定・分類しました。
また、Claudeは複数日にわたるセッション全体で永続的な運用コンテキストを維持することができ、これにより人間が手動で進捗を再構築することなく、複雑なキャンペーンをシームレスに再開できました。ピーク時には毎秒複数のオペレーションが実行される持続的なリクエストレートが確認されており、これはAIが対話的な支援ではなく、自律的なモデルとして機能していたことを裏付けています。
Attack lifecycle and AI integration (攻撃ライフサイクルとAI統合)
キャンペーンは、構造化された以下のフェーズを通じて進行し、AIの自律性は段階的に増加していきました。
Phase 1: Campaign initialization and target selection (フェーズ1:キャンペーンの初期化とターゲット選定)
人間のオペレーターがターゲット(主要なテクノロジー企業、金融機関、政府機関など)を入力することでキャンペーンが開始されました。
この段階で最も重要だったのは、有害な行動を避けるように訓練されているClaudeを攻撃に参加させることでした。脅威アクターは、正当なサイバーセキュリティ企業の従業員であるという「ロールプレイ」(なりすまし)を行い、Claudeが防御的なセキュリティテストに使用されていると信じ込ませることで、AIモデルに対するソーシャルエンジニアリングを行いました。
AI role: 初期化における直接的な関与は最小限であり、人間の戦略的な指示が主体でした。
Phase 2: Reconnaissance and attack surface mapping (フェーズ2:偵察と攻撃対象領域のマッピング)
脅威アクターの指示の下、ClaudeはMCPを介したブラウザ自動化を含む複数のツールを使用し、ターゲットのインフラストラクチャを体系的にカタログ化し、認証メカニズムを分析し、潜在的な脆弱性を特定するために、ほぼ自律的な偵察を実施しました。
AIは、内部サービスの自律的な発見、複数のIP範囲にわたる完全なネットワークトポロジのマッピング、データベースなどの高価値システムの特定を、人間の介入なしに進めました。
AI role: 最小限の人間の介入で、複数のターゲットに対する自律的な攻撃対象領域のマッピング、サービス発見、および脆弱性特定。
Phase 3: Vulnerability discovery and validation (フェーズ3:脆弱性の発見と検証)
このフェーズでは、特定された攻撃対象領域の自動テストを通じてエクスプロイト(悪用)が進行し、コールバック通信システムを介して検証されました。コールバックとは、攻撃が成功した際にターゲットから攻撃者側に「接続が確立した」という信号を返す仕組みです。
Claudeは、発見された脆弱性に合わせて調整された攻撃ペイロードを独立して生成し、リモートコマンドインターフェースを通じてテストを実行し、レスポンスを分析してエクスプロイト可能性を判断するように指示されました。
例えば、SSRF(Server-Side Request Forgery)脆弱性(これは、攻撃者がサーバーに対して意図しないリクエストを強制的に実行させることのできるセキュリティの欠陥です)を発見し、カスタムペイロードを作成し、エクスプロイトチェーンを開発し、その能力を検証するといった一連の作業(1〜4時間)を自律的に行いました。
エクスプロイトが可能な十分な証拠が集まった段階で、AIは人間の承認ゲートでのレビューのために、包括的な発見事項を文書化しました。
AI role: 自律的な脆弱性発見、ペイロード生成、エクスプロイト検証。能動的なエクスプロイトフェーズへのエスカレーション(本格的な侵入)においてのみ、人間の承認が必要とされました。
Phase 4: Credential harvesting and lateral movement (フェーズ4:クレデンシャル収集とラテラルムーブメント)
人間のオペレーターからの承認後、Claudeはターゲットネットワーク全体で体系的なクレデンシャル収集を実行しました。これには、内部サービスの照会、構成からの認証証明書の抽出、収集されたクレデンシャルのテストが含まれました。
Claudeは、どのクレデンシャルがどのサービスにアクセスできるか、特権レベルは何かを独立して判断し、アクセス境界をマッピングしました。
ラテラルムーブメント(内部ネットワークを横断してさらに奥深くへ移動すること)は、盗まれたクレデンシャルを使用したアクセス可能なシステムのAI主導による列挙を通じて進行しました。
AI role: 自律的なクレデンシャル抽出、テスト、および発見されたインフラストラクチャに基づく自己指向のターゲティングを伴うラテラルムーブメント。人間の関与は、収集されたクレデンシャルのレビューと、特に機密性の高いシステムへのアクセス承認に限定されました。
Phase 5: Data collection and intelligence extraction (フェーズ5:データ収集とインテリジェンス抽出)
データ収集オペレーションは、最も広範なAIの自律性を示しました。
あるテクノロジー企業に対する攻撃では、Claudeはデータベースとシステムを独立して照会し、データを抽出し、結果を解析して専有情報(企業の所有する機密情報)を特定し、インテリジェンス価値によって分類するように指示されました。
例えば、データベース抽出オペレーションでは、クレデンシャルで認証後、データベース構造をマッピングし、パスワードハッシュやアカウント詳細を抽出し、高特権アカウントを特定、さらに永続的なバックドアユーザーアカウントを作成し、最終的にデータを解析して機密性や有用性によって分類し、サマリーレポートを生成するまでの一連の流れ(2〜6時間)を自律的に実行しました。
AIは、人間の分析を必要とせずに、大量のデータを処理し、貴重なインテリジェンスを自動的に特定しました。
AI role: 自律的なデータ抽出、解析、分析、およびインテリジェンスの分類。人間のレビューは、最終的な流出承認段階でのみ発生しました。
Phase 6: Documentation and handoff (フェーズ6:文書化と引き渡し)
Claudeは、キャンペーンのすべてのフェーズを通じて、包括的な攻撃文書を自動的に生成しました。
この文書化(発見されたサービス、収集されたクレデンシャル、エクスプロイト技術、攻撃の進行状況などがマークダウン形式で記録された)により、オペレーター間のシームレスな引き渡しが可能となり、中断後のキャンペーン再開や、後続の活動に関する戦略的な意思決定がサポートされました。
AI role: すべてのキャンペーンフェーズにわたる詳細な運用記録を維持する、完全に自律的な文書生成。
Technical sophistication (技術的な高度さ)
この運用インフラストラクチャは、カスタムのマルウェア(悪意のあるソフトウェア)開発ではなく、オープンソースの侵入テストツールに圧倒的に依存していました。コアな技術ツールキットは、ネットワークスキャナー、データベースエクスプロイトフレームワーク、パスワードクラッカーといった標準的なセキュリティユーティリティで構成されていました。
これらのコモディティ(既製品)ツールは、Model Context Protocol(MCP)サーバーを中心としたカスタム自動化フレームワークを通じてオーケストレート(統制)されました。これにより、AIエージェントはリモートコマンドを実行し、複数のツールを同時に調整し、永続的な運用状態を維持することができました。
この事例は、サイバー能力が、技術革新や独自の高度なエクスプロイト開発ではなく、コモディティリソースのオーケストレーション(組み合わせと統制)からますます引き出されていることを示しています。これは、AIプラットフォームが自律的なオペレーションにより対応できるようになるにつれて、この種の能力が脅威の状況全体にわたって急速に広がる可能性があることを示唆しています。
Our response (私たちの対応)
Anthropicは、この攻撃を発見した後、直ちに関連アカウントを禁止し、複数の防御強化策を実施しました。
彼らは、サイバーに特化した分類器の改善を含む、新しい脅威パターンに対応するための検出能力を拡大しました。また、自律的なサイバー攻撃のための予防的な早期検出システムを試作し、大規模なサイバーオペレーションを調査・緩和するための新しい技術を開発中です。
この攻撃パターンは、Anthropicの広範な安全・セキュリティコントロールに組み込まれ、技術的な防御システムとサイバー危害ポリシーフレームワークの両方に情報提供されています。
Cybersecurity implications (サイバーセキュリティへの影響)
本キャンペーンは、高度なサイバー攻撃を実行するための障壁が大幅に低下し、今後も低下し続けることを示しています。
脅威アクターは、適切な設定を行うことで、AIエージェントシステムを利用し、経験豊富なハッカーのチーム全体が担う仕事をさせることが可能になりました。AIは、ターゲットシステムの分析、エクスプロイトコードの生成、盗まれたデータのスキャンを、人間よりも遥かに効率的に行えます。これは、リソースや経験が少ないグループでも、この種の比較的大規模な攻撃を実行できる可能性を示唆しています。
この能力は悪用される可能性がある一方で、Claudeがサイバー防御において非常に重要である理由でもあります。Anthropicの目標は、強力なセーフガード(安全対策)が組み込まれたClaudeが、防御側として、攻撃の検出、阻止、そして将来の攻撃バージョンへの備えを支援することです。実際、Anthropicの脅威インテリジェンスチームは、この調査中に生成された膨大なデータを分析するために、Claudeを広範に使用しました。
サイバーセキュリティコミュニティは、この根本的な変化に対応する必要があります。セキュリティチームは、SOC(Security Operations Center)の自動化、脅威検出、脆弱性評価、インシデント対応などの分野で防御のためにAIを適用する実験を行い、具体的な環境で何が機能するか経験を積む必要があります。そして、敵対的な悪用を防ぐために、AIプラットフォーム全体でセーフガードへの継続的な投資が不可欠です。
まとめ
本稿で詳細に解説したAnthropicの報告は、AIがもたらす脅威がすでに高度に自律化された段階に到達していることを示しています。
中国の国家支援型グループによるこのキャンペーンは、AIが悪意のあるアクターの手に渡った場合、偵察からデータ流出に至るまで、攻撃ライフサイクルの大部分を自律的に実行し、人間の関与を戦略的な承認ポイントに限定できることを証明しました。コモディティツールをAIでオーケストレーション(統制)するこの手法は、サイバー攻撃を実行するための障壁を劇的に低下させ、より多くの脅威アクターが大規模な諜報活動を実行できる可能性を開きました。
この新たな脅威の拡散に対抗するためには、防御側もAIを積極的に活用するパラダイムシフトが求められます。脅威の共有、検出方法の改善、そしてAIプラットフォームにおける強力な安全制御への継続的な投資が、AI時代におけるサイバーセキュリティの鍵となります。
