アンスロピックの研究者らは、中国政府のハッカーが同社のAIツール「Claude」を用いて数十の標的を狙った攻撃キャンペーンを実施しているのを発見し、「AIを活用した初のサイバースパイ活動」を最近確認したと発表した。外部の研究者らは、この発見の重要性について、より慎重な見方を示している。
アンスロピックは木曜日に、これらの報告書をこちらとこちらに掲載した。報道によると、アントロピックは9月に、中国政府が支援するグループがClaude Codeを使用して作業の最大90%を自動化した「高度に洗練されたスパイ活動」を発見した。人間の介入は「散発的に(おそらくハッキング活動ごとに4~6つの重要な意思決定ポイント)のみ必要だった」という。アントロピックは、ハッカーたちがAIエージェントの能力を「前例のない」程度に活用していたと述べた。
「この活動は、AI『エージェント』時代のサイバーセキュリティに大きな影響を与える。AI『エージェント』とは、長期間にわたって自律的に稼働し、人間の介入をほぼ必要とせずに複雑なタスクを完了できるシステムである」とアントロピックは述べた。「エージェントは日常業務や生産性向上に有用だが、悪用されれば、大規模なサイバー攻撃の実行可能性を大幅に高める可能性がある。」
「おべっか、妨害、そしてアシッド・トリップ」
外部の研究者たちは、この発見がAnthropicの投稿で謳われたような画期的な出来事だとは信じていなかった。彼らは、ホワイトハットハッカーや正規ソフトウェア開発者がAI活用によるわずかな成果しか報告していないにもかかわらず、なぜこうした進歩は悪意のあるハッカーのせいにされることが多いのか疑問を呈した。
「攻撃者が、他の誰にもできないような困難を、これらのモデルを使って乗り越えられるとは、私は信じたくない」と、Phobos Groupの創業者であり、複雑なセキュリティ侵害の専門家であるダン・テントラー氏はArsに語った。「なぜモデルは攻撃者の望みを90%叶えてくれるのに、残りの私たちはおべっか、妨害、そしてアシッド・トリップに対処しなければなら�ないのだろうか?」
研究者たちは、AIツールがワークフローを改善し、トリアージ、ログ分析、リバースエンジニアリングといった特定のタスクにかかる時間を短縮できることを否定していません。しかし、AIが人間の介入を最小限に抑えながら、複雑な一連のタスクを自動化できるかどうかは、依然として不透明です。多くの研究者は、サイバー攻撃におけるAIの進歩を、数十年にわたって使用されてきたMetasploitやSEToolkitといったハッキングツールの進歩と比較しています。これらのツールが有用であることは間違いありませんが、その登場によってハッカーの能力や攻撃の深刻度が大幅に向上したわけではありません。
結果がそれほど印象的ではないもう一つの理由は、AnthropicがGTG-1002として追跡している脅威アクターが、大手テクノロジー企業や政府機関を含む少なくとも30の組織を標的にしていたことです。そのうち、成功した攻撃は「ごく少数」にとどまりました。これは疑問を投げかけます。たとえプロセスから人間による介入がこれほどまでに排除されたとしても、成功率がこれほど低いのであれば、一体何の役に立つのでしょうか?攻撃者がより伝統的な、人間が関与する手法を用いていたら、成功率はもっと高かったのでしょうか?
Anthropicの説明によると、ハッカーたちはClaudeを使い、容易に入手可能なオープンソースソフトウェアとフレームワークを用いて攻撃を仕掛けました。これらのツールは長年存在しており、防御側にとっては既に容易に検出可能です。Anthropicは、攻撃に使用された具体的な手法、ツール、またはエクスプロイトの詳細を明らかにしていませんが、これまでのところ、AIの使用によって攻撃がより強力になったり、従来の手法よりもステルス性が高くなったりする兆候は見られません。
「脅威アクターはここで何か新しいものを発明しているわけではない」と、独立系研究者のケビン・ボーモント氏は述べている[https://infosec.exchange/@GossiTheDog@cyberplace.social/115543986691147283]。
Anthropicでさえ、その調査結果に「重要な限界」があると指摘している。
Claudeは、自律的な運用中に、発見内容を頻繁に誇張し、時にはデータを捏造していた。実際には機能しない認証情報を入手したと主張したり、公開情報であることが判明した重要な発見を特定したりしていた。攻撃的なセキュリティ環境におけるこのAIの幻覚は、アクターの運用効率に課題をもたらし、主張されたすべての結果を慎重に検証する必要があった。これは、完全に自律的なサイバー攻撃の障害であり続けている。
Anthropicによると、攻撃の展開方法
Anthropicによると、GTG-1002は、Claudeをオーケストレーションメカニズムとして使用し、人間の介入を大幅に排除する自律攻撃フレームワークを開発したという。このオーケストレーションシステムは、複雑な多段階攻撃を、脆弱性スキャン、認証情報の検証、データ抽出、ラテラルムーブメントといったより小さな技術的タスクに分割しました。
「このアーキテクチャは、Claudeの技術的機能を、より大規模な自動化システム内の実行エンジンとして統合しました。AIは人間のオペレーターの指示に基づいて特定の技術的アクションを実行し、オーケストレーションロジックは攻撃状態を維持し、フェーズ遷移を管理し、複数のセッションにわたる結果を集約しました」とAnthropicは述べています。「このアプローチにより、脅威アクターは、Claudeの応答を順序付け、発見された情報に基づいて後続のリクエストを調整することで、フレームワークが偵察、初期アクセス、パーシスタンス、データ窃取の各フェーズを自律的に進行することで、直接的な関与を最小限に抑えながら、国家レベルのキャンペーンに典型的に見られるような運用規模を達成できました。」
攻撃は5つのフェーズ構造を採用し、フェーズごとにAIの自律性を高めました。
攻撃者は、タスクを小さなステップに分割することで、Claudeのガードレールを部分的に回避することができました。これらのステップは、単独ではAIツールが悪意のあるものとして解釈しませんでした。他のケースでは、攻撃者は、セキュリティ専門家がClaudeを利用して防御を強化しようとしているという文脈で質問をしていました。
先週指摘したように、AIで開発されたマルウェアが現実世界の脅威となるまでには、まだ長い道のりがあります。AIを活用したサイバー攻撃が、将来、より強力な攻撃を生み出す可能性を疑う余地はありません。しかし、これまでのデータは、AIを利用する他の多くの企業と同様に、脅威アクターが得ている結果はまちまちであり、AI業界関係者が主張するほど目覚ましいものではないことを示しています。