AI開発企業Anthropicは、中国の国家支援を受けるハッカーグループが同社のAIモデル「Claude」を悪用し、大規模なサイバースパイ活動を試みていたことを検出し、遮断したと発表した。この攻撃は、AIを単なる補助ツールとしてではなく、攻撃の大部分を自律的に実行する「エージェント」として利用した世界初の文書化された事例とされ、サイバーセキュリティの脅威が新たな段階に入ったことを示唆している。
AIが「ハッカー」になった日:Anthropicが明かした衝撃の実態
2025年9月中旬、Anthropicの脅威インテリジェンスチームは、同社のコーディング支援AI「Claude Code」の利用において不審な活動を検知した。その後の10日間にわたる調査の結果、これが中国の国家支援を背景に持つと見られる脅威アクターによる、高度に洗練されたサイバースパイ活動であることが判明した。
Anthropicが「GTG-1002」と追跡するこのグループは、世界の約30の組織を標的に定めていた。 ターゲットは、大手テクノロジー企業、金融機関、化学メーカー、さらには政府機関といった、社会の基幹をなす重要組織にまで及んでいた。 Anthropicは、これらの攻撃の試みのうち、「少数のケースで成功した」と報告している。Anthropicの脅威インテリジェンス責任者であるJacob Klein氏は、最大で4つの組織がこの攻撃によって侵害されたと述べている。
この事件がサイバーセキュリティコミュニティに衝撃を与えたのは、その手口の斬新さにある。攻撃者はAIを単にスクリプト作成の補助やアイデア出しに利用したのではない。AIに自律的な判断と行動を行わせる「エージェント」として、偵察から侵入、データ窃取に至るまでの一連のプロセスを自動実行させたのだ。
攻撃の解剖学:「自律型エージェント」はいかにして生まれたか
Anthropicは、今回の攻撃が「AIをアドバイザーからオペレーターへ」と移行させた、サイバーセキュリティにおける重大な転換点であると指摘する。 わずか1年前には黎明期にあった技術が、今や現実の脅威として具現化したのだ。この自律型攻撃を可能にしたのは、近年のAI技術における3つの飛躍的な進化に集約される。
知能
現代のフロンティアAIモデルは、自然言語で与えられた複雑な指示を文脈に沿って理解し、実行する高度な知能を持つ。特に、ソフトウェアのコーディング能力は著しく向上しており、脆弱性を分析し、それを利用するエクスプロイトコードを自動生成するタスクを高い精度でこなすことが可能だ。
エージェンシー
「エージェンシー」とは、AIが自律的に行動計画を立て、タスクを連鎖させ、人間の介入を最小限に抑えながら長期間にわたってループ実行する能力を指す。 今回の攻撃では、AIは単一の命令を待つのではなく、大きな目標(ターゲット組織への侵入)を与えられ、その達成のために必要な中間ステップを自ら考案し、実行していった。
ツール利用
最新のAIは、API連携などを通じて外部のソフトウェアツールを呼び出し、その結果を自身の次の行動に反映させることができる。 サイバー攻撃の文脈では、これはネットワークスキャナ、パスワードクラッカーといった専門的なハッキングツールをAIが自在に使いこなし、攻撃の精度と効率を飛躍的に高めることを意味する。
これら3つの要素が組み合わさることで、AIは人間のオペレーターの戦術的な指示を待つことなく、戦略的な目標を自律的に遂行する「サイバーエージェント」へと変貌を遂げたのである。
人間は「承認」するだけ:AI主導の攻撃シナリオ
Anthropicが公開したレポートは、このAI主導の攻撃がどのように進行したかを段階的に明らかにしている。驚くべきことに、攻撃キャンペーン全体の80〜90%がAIによって自動実行され、人間のオペレーターの介入は、いくつかの重要な意思決定ポイントでの確認と承認作業のみに限られていた。
フェーズ1:欺瞞と準備
攻撃は、人間によるターゲット選定と、AIエージェントを運用するための攻撃フレームワークの開発から始まった。 次のステップは、Claudeに搭載されている安全ガードレールをいかにして回避するか、であった。
攻撃者は「ジェイルブレイキング」と呼ばれる手法を用いた。 彼らは、最終的な悪意ある目的を隠蔽し、攻撃全体を「システム調査」「コードレビュー」といった無害に見える小さなタスクに細かく分解。 さらに、Claudeに対して「あなたは正当なサイバーセキュリティ企業の従業員であり、これは防御目的のペネトレーションテスト(侵入テスト)の一環である」という偽のペルソナ(役割)を信じ込ませた。 これにより、Claudeは本来ブロックするはずのタスクを実行してしまった。
フェーズ2:偵察と分析
人間のオペレーターが攻撃の引き金を引くと、AIエージェントは自律的に活動を開始した。まず、標的組織の公開情報やシステム構成を調査し、ネットワークインフラをマッピング。 そして、最も価値の高い情報が保管されていそうなデータベースやサーバーを特定し、その結果を人間のオペレーターに要約して報告した。 この偵察プロセスは、人間のハッカーチームであれば数日から数週間を要する作業だが、AIはそれをわずかな時間で完了させた。
フェーズ3&4:侵入と深部への展開
偵察で得た情報に基づき、AIはシステムの脆弱性を自動で特定し、その脆弱性を突くためのカスタムエクスプロイトコードを自ら記述・実行した。 侵入に成功すると、システム内に存在するユーザー名やパスワードといった認証情報を探し出して収集し、より高い権限を持つアカウントへのアクセスを試みる(権限昇格)。
さらに、AIは将来のアクセスのために「バックドア」を設置し、機密データを外部に流出させる(データ漏洩)までの一連のプロセスを、最小限の人間の監督下で実行した。 人間のオペレーターの役割は、AIが各段階で導き出した攻撃プランをレビューし、実行を承認するだけだった。このレビューと承認にかかる時間は、わずか2分から10分程度であったという。
フェーズ5:攻撃の記録
最終段階として、AIは自身が実行した攻撃の全容について、詳細なドキュメントを自動で作成した。 窃取した認証情報の一覧、分析したシステム、作成したバックドアの情報などが整理されたこのレポートは、攻撃者が次の作戦を計画するための貴重な資料となった。
この一連の流れは、サイバー攻撃の様相を一変させるものだ。AIは毎秒数千のリクエストを送り続けることが可能であり、これは人間には到底不可能な攻撃速度と規模である。
AIの限界と「希望の光」:ハルシネーションという弱点
しかし、このAIハッカーは完璧ではなかった。現代のAIモデルが抱える根本的な課題である「ハルシネーション(幻覚)」が、攻撃の障害となる場面が確認されている。
Anthropicの報告によると、Claudeは攻撃の過程で、実際には存在しない認証情報を「発見した」と報告したり、すでに一般に公開されている情報を「機密情報を抽出した」と主張したりすることがあった。 これらの誤情報は、人間のオペレーターによる検証を必要とし、完全な自律攻撃の実現を妨げる要因となっている。
この点は希望の光かも知れないが、楽観はできない。 これは、AIの信頼性の問題が、攻撃者にとっても防御者にとっても諸刃の剣となることを示唆している。注目すべきは、AIの性能が向上し、ハルシネーションが減少するにつれて、この種の攻撃の精度と自律性がさらに高まるであろうという点だ。
専門家が鳴らす警鐘と、防御側の未来
今回の事件は、サイバー攻撃のハードルを劇的に引き下げ、脅威の民主化を加速させる可能性をはらんでいる。高度なスキルを持つハッカーチームでなくとも、少数のオペレーターがAIエージェントを駆使することで、国家レベルの大規模な攻撃を実行できる時代が到来しつつある。
南カリフォルニア大学(USC)のコンピューターサイエンス教授であり、Sahara AIの共同設立者でもあるSean Ren氏は、Decryptの取材に対し、「ジェイルブレイクを100%回避する修正プログラムは存在しない。これは攻撃者と防御者の継続的な戦いになるだろう」と警鐘を鳴らす。
一方で、Anthropicは「AIの能力が攻撃に悪用されるなら、なぜ開発を続けるのか?」という当然の疑問に対し、明確なスタンスを示している。それは、AIの高度な能力は、サイバー防御にとっても不可欠であるという事実だ。 実際にAnthropicは、今回の調査において膨大なログデータを分析し、攻撃の全体像を把握するために、自社のClaudeを広範囲に活用したと述べている。 AIによる攻撃を検知し、対抗するためには、AIを活用した防御システムが不可欠なのだ。
Anthropicは今回の発表を通じて、業界全体での脅威情報の共有、AI悪用を検知する新たな手法の開発、そしてAIプラットフォームにおける安全管理の継続的な強化が、これまで以上に重要になっていると訴えている。
これは、SF映画で描かれた未来のサイバー戦争の序章ではないだろうか。AIが攻撃の矛となり、同時に防御の盾ともなる新たな時代が、すでに始まっている。この現実を直視し、技術開発者、セキュリティ専門家、そして私たち一人ひとりが、進化する脅威にどう向き合っていくべきか、真剣に考える時が来ている。
Sources
