2026年、サイバー攻撃は「全自動」へ 世界30組織を標的にしたAIの暴走に要注意
Anthropicは、国家が関与する攻撃者が生成AIツール「Claude Code」を悪用して、世界の約30組織にスパイ活動を実行したことを明らかにした。この攻撃は2026年のサイバーセキュリティにどのような影響を与えるのだろうか。
生成AIサービスを展開するAnthropicは、2025年11月13日(現地時間、以下同)に「国家から支援を受けていると思われる攻撃者が当社のAIエージェント型コーディングツールの一つを操作し、2025年9月に世界中の約30の組織を標的にした高度なスパイ活動を実施していた」と発表した(注1)。
AIエージェントが「最強の攻撃ツール」に変わった日
攻撃者はAnthropicの生成AI「Claude Code」を利用して、化学関連の製造企業や大手テクノロジー企業、金融機関、政府機関などの幅広い組織を標的にした。同社が「GTG-1002」と名付けた攻撃者は、一部の標的への侵入に成功したという。この攻撃は2026年のサイバーセキュリティをどのように変えるのだろうか。
Anthropicは、この攻撃は人間の大きな関与なしに実行された初の大規模サイバー攻撃の一つだという可能性が高いと主張している。同社によると、攻撃の80%から90%はAIによって実行され、人間の介入が必要になったのは4カ所ないし6カ所の主要な意思決定ポイントのみだったようだ。
Anthropicは「攻撃に関与した複数のアカウントを停止して、被害を受けた組織に通知し、当局へ報告した」と述べた。
さらに同社は人間のオペレーターが攻撃対象を選定し、その後攻撃を実行するための枠組みを構築したと付け加えた。攻撃はClaude Codeが自動的に実行するように設定されていた。
生成AIのガードレールはどうなったのか
Claude Codeは有害な目的で使用されないように訓練されているため、攻撃者はジェイルブレークして、内蔵のガードレールを回避できる状態にした。
同社によると攻撃のさまざまな工程は細かなタスクに分解されており、ツールは全体の文脈を理解しないまま、それらを無害な小さな作業と解釈してしまった。攻撃者は自分たちがサイバーセキュリティ企業の従業員であり、これから実行する内容は防御テストの一部であるとClaudeに信じ込ませた。
Claude Codeは偵察に利用されて、価値の高いデータベースを特定する目的で使われた。Claudeは標的のシステム内部でセキュリティ脆弱性を特定して検証し、さらに悪用するコードを自ら作成した。その後、ユーザー名とパスワードの収集や特権アカウントの検索、悪意のあるバックドアの作成、大規模攻撃の実行にも利用されてしまった。
実際の攻撃者が実環境で多段階攻撃の大部分を自動化するためにAIエージェントを利用した例をアナリストが確認したのはこれが初めてだ。
調査企業Forrester Researchでセキュリティとリスクを担当するアリー・メレン氏(プリンシパルアナリスト)は、次のように述べた。
「AIエージェントをサイバー攻撃で悪用するツールに変えてしまうかどうかという点で、現在は極めて重大な局面にある」
Anthropicの公表はGoogleの発表とほぼ同じタイミングだった。Google Threat Intelligence Group(GTIG)がAI対応マルウェアについて実際の攻撃で使用されていることを示すレポートを発表してから、1週間後に公表したからだ(注2)。
研究者は「Gemini AI API」を悪用して自己コードを動的に書き換え、検知回避を図る実験的なVBScriptマルウェア「Promptflux」や画像生成ツールを装い、Hugging Faceの「Qwen2.5-Coder LLM」にプロンプトを送って偵察コマンドを動的に生成するPythonマルウェア「Promptsteal」を含む、大規模言語モデルを利用したマルウェアファミリーを特定した。
2026年の心配事がまた増えた
北朝鮮やイラン、中国の関与を受けている攻撃者もGoogleのAI技術「Gemini」を自らの活動強化に利用している。
Googleの研究者は「これらの攻撃は単発のものではなく、拡大しつつある攻撃のトレンドを示す証拠である可能性が高い」と述べた。
GTIGのジョン・ハルクイスト氏(チーフアナリスト)は、『Cybersecurity Dive』に次のように語った。
「同様の攻撃を試みる攻撃者は今後増加するか、もしくは(まだ検出されてはいないものの)すでに増加しているだろう。真の問題は、私たちが攻撃者と同様のスピードで事態に適応できるかどうかだ」
出典:Anthropic warns state-linked actor abused its AI tool in sophisticated espionage campaign(Cybersecurity Dive)
注1:Disrupting the first reported AI-orchestrated cyber espionage campaign(Anthropic)
注2:GTIG AI Threat Tracker: Advances in Threat Actor Usage of AI Tools(Google Cloud Blog)
© Industry Dive. All rights reserved.
関連記事
Zoom会議やSMSも標的に、進化するディープフェイク詐欺の実態
生成AIはサイバー攻撃を高度化させており、攻撃者はディープフェイクによる詐欺や、文章精度の高いフィッシング詐欺、侵入テストの自動化といった手口で悪用している。攻撃専用AIだけでなく、正規のAIモデルを「脱獄」させて使う動きも活発化している。中堅・中小企業がこのような攻撃を防御するにはどうすればよいのだろうか。有識者に聞いた。
「意識低い系AIエージェント」のセキュリティリスク どう対策するか
生成AIのセキュリティリスクを語る際は、ユーザーへの教育が重視される。では自律的に動くAIエージェントではどうすればよいのだろうか。ユーザーへの教育だけでは不十分だろう。
生成AIを使った自動サイバー攻撃 どのような攻撃が増えているのか
生成AIを使ったサイバー攻撃の効率化や迅速化が目立ってきた。どのような攻撃が増えていて、実害はどの程度なのだろうか。Gartnerなどの見解を紹介する。
もはや人間は不要に? AIが自動で攻撃するランサムウェア「PromptLock」とは?
ESETは生成AIを活用するランサムウェア「PromptLock」を発見したと発表した。犯罪者があらかじめ記述したコードが動作するのではなく、感染したデバイス上で生成AIが悪意のあるスクリプトを生成して攻撃を実行することが特徴だ。