2025年9月中旬、中国の国家支援を受けた脅威アクターは、Anthropic社が開発した人工知能(AI)技術を用いて、「高度に洗練されたスパイ活動」の一環として、自動化されたサイバー攻撃を仕掛けました。
「攻撃者はAIの『エージェント』機能を前例のないレベルで活用しました。AIを単なるアドバイザーとしてではなく、サイバー攻撃そのものを実行するために利用したのです」と、このAI新興企業は述べています(https://www.anthropic.com/news/disrupting-AI-espionage)。
この活動では、Anthropic社のAIコーディングツールであるClaude Codeが操作され、大手テクノロジー企業、金融機関、化学製造会社、政府機関など、世界約30の標的への侵入が試みられたと推定されています。これらの侵入の一部は成�功しました。Anthropic社はその後、関連アカウントを禁止し、このような攻撃を検知するための防御メカニズムを強化しました。
GTG-1002キャンペーンは、脅威アクターがAIを活用して、人間の介入をほとんど必要とせずに「大規模サイバー攻撃」を実行し、高価値ターゲットを攻撃することで情報収集を行った初めての事例であり、AI技術の敵対的利用における継続的な進化を示しています。
Anthropicは、この作戦は十分なリソースと専門的知識に基づいて実施されたと述べ、脅威アクターがClaudeを「自律型サイバー攻撃エージェント」へと変貌させ、偵察、脆弱性の発見、エクスプロイト、ラテラルムーブメント、認証情報の収集、データ分析、情報漏洩など、攻撃ライフサイクルの様々な段階を支援したと述べています。
具体的には、Claude CodeとModel Context Protocol(MCP)ツールが使用されました。Claude Codeは中枢神経系として機能し、人間のオペレーターからの指示を処理し、多段階の攻撃をサブエージェントにオフロード可能な小さな技術的タスクに分解します。
「人間のオペレーターは、Claude Codeのインスタンスをグループに分け、自律的な侵入テストのオーケストレーターおよびエージェントとして動作させました。脅威アクターはAIを活用し、物理的に不可能なリクエストレートで戦術的操作の80~90%を自律的に実行できました」と同社は付け加えています。「人間の責任は、キャンペーンの開始と重要なエスカレーションポイントにおける承認の決定に集中していました。」
偵察から実際の攻撃への移行の承認、収集した認証情報の横方向移動への使用承認、データ窃取の範囲と保持に関する最終決定など、戦略的な節目においても人間の関与がありました。
このシステムは、攻撃者が攻撃対象を入力として受け取り、MCPの能力を活用して偵察と攻撃対象領域のマッピングを行う攻撃フレームワークの一部です。攻撃の次の段階では、Claudeベースのフレームワークが脆弱性の発見を促進し、カスタマイズされた攻撃ペイロードを生成することで発見された欠陥を検証します。
人間のオペレーターからの承認を得ると、システムはエクスプロイトを展開して足掛かりを確保し、資格情報の収集、ラテラルムーブメント、データ収集、抽出といった一連のエクスプロイト後の活動を開始します。
ある匿名のテクノロジー企業を標的とした攻撃では、脅威アクターがClaudeにデータベースやシステムを独自に照会し、結果を解析して機密情報にフラグを付け、発見内容をインテリジェンス価値に基づいて分類するよう指示したとされています。さらに、Anthropic社は、同社のAIツールがすべての段階で詳細な攻撃文書を生成したため、最初の攻撃の後、脅威アクターは長期的な攻撃のために他のチームに永続的なアクセスを委譲できる可能性があると述べています。
報告書によると、「脅威アクターは、綿密に作成されたプロンプトと確立されたペルソナを通じて、これらのタスクをクロードに日常的な技術的要求として提示することで、より広範な悪意のあるコンテキストにアクセスすることなく、クロードが攻撃チェーンの個々のコンポーネントを実行するように誘導することができた」とのことです。
運用インフラ��がカスタムマルウェア開発を可能にしたという証拠はありません。むしろ、公開されているネットワークスキャナー、データベースエクスプロイトフレームワーク、パスワードクラッカー、バイナリ解析スイートに大きく依存していることが判明しています。
しかし、この活動の調査により、AIツールの重大な限界も明らかになりました。それは、自律動作中に幻覚やデータの捏造を行う傾向、つまり偽の認証情報を捏造したり、公開されている情報を重要な発見として提示したりする傾向です。これが、この計画の全体的な有効性に大きな障害をもたらしています。
この暴露は、2025年7月にAnthropicがClaudeを武器として大規模な個人データの窃取と脅迫を行う高度な攻撃を阻止してから約4か月後に行われました。過去2か月間に、OpenAIとGoogleもそれぞれChatGPTとGeminiを悪用した脅威アクターによる攻撃を公表しています。
同社は、「今回の攻撃は、高度なサイバー攻撃を実行するための障壁が大幅に低下したことを示しています」と述べています。
脅威アクターは、適切な設定を施せば、エージェント型AIシステムを用いて、経験豊富なハッカーチーム全体の業務を遂行することが可能になります。標的システムの分析、エクスプロイトコードの作成、そして窃取した情報の膨大なデータセットのスキャンなど、人間のオペレーターよりも効率的に作業を進めることができます。経験不足でリソースも限られているグループでさえ、このような大規模な攻撃を実行できる可能性があります。