安全性重視のAI スタートアップ Anthropicは、「中国国家が支援するグループ」が同社のエージェントコーディングツールであるClaude Codeを使用して、約30の組織に対して高度なサイバー攻撃を実行し、場合によっては機密データの盗難に成功したと述べています。
同社が今年9月11月13日に発表したレポートによると、Anthropicの脅威インテリジェンスチームのメンバーは、「中国国家が支援するグループによる高度に洗練されたサイバースパイ活動」を検知しました。脅威インテリジェンスチームは、Claudeが悪意ある目的で使用されたインシデントを調査し、そのようなインシデントに対する防御力の向上に取り組んでいます。
この攻撃は、複数の国にまたがる約30の「大手テクノロジー企業、金融機関、化学製造会社、政府機関」を標的としました。ウォール・ストリート・ジャーナルに提供された声明の中で、Anthropicは米国政府への侵入には成功しなかったと述べています。
Anthropicによると、「GTG-1002」と名付けられたこの作戦は、ほぼすべてClaude Codeによって実行され、人間のハッカーは主に計画の承認やClaudeを特定の標的に誘導することで貢献しました。これがGTG-1002を、2025年8月というごく最近の時点でさえ「人間が十分に関与していた」他のAIを活用した攻撃とは異なる点です。
では、これらのサイバー犯罪者は、まさにこの種の有害な行動を回避するように明確に訓練されているClaudeに、どのようにして悪意ある行為を実行させたのでしょうか?Anthropic社の報告書にあるように、「鍵はロールプレイでした。人間のオペレーターは、正規のサイバーセキュリティ企業の従業員であると主張し、Claudeに、このシステムが防御的なサイバーセキュリティテストに使用されていると信じ込ませました。」この策略により、ハッカーたちはAnthropic社による検出を一定期間回避することができたようです。
Anthropic社は、「綿密に作成されたプロンプトと確立されたペルソナを通じて、これらのタスクをClaudeに通常の技術的要求として提示することで、脅威アクターは、より広範な悪意��のあるコンテキストにアクセスすることなく、Claudeに攻撃チェーンの個々のコンポーネントを実行させることができました」と述べています。
ハッカーたちは、クロードがテストを行っているだけだと信じ込ませると、攻撃対象を提供しました。クロードは複数のサブエージェントを編成し、アントロピックが開発したプロトコルMCPを介して一般的なオープンソースツールを使用することで、標的組織のインフラストラクチャと認証メカニズムの脆弱性を探りました。アントロピックは、「侵入に成功した限られた事例の一つでは、脅威アクターはクロードに内部サービスを自律的に検出させ、複数のIPアドレス範囲にわたる完全なネットワークトポロジをマッピングし、データベースやワークフローオーケストレーションプラットフォームなどの高価値システムを特定させました」と述べています。
最初のスキャンの後、クロードはカスタム攻撃ペイロードを生成・展開することで、特定した脆弱性のテストを開始しました。これらのテストを通じて、クロードは標的組織のデジタル環境に足場を築き、人間のオペレーターの指示があれば、資格情報と認証証明書の収集、抽出、テストを開始することができました。「クロードは、どの資格情報がどのサービスへのアクセスを提供するかを独自に判断し、人間の指示なしに権限レベルとアクセス境界をマッピングしました」とアンスロピックは記しています。
そしてついに、標的組織のデータベースとシステムの奥深くまでアクセスできるようになる�と、クロードはデータを抽出し、分析して機密情報を特定し、情報価値に基づいて整理するよう指示されました。クロードは文字通り、どのデータがハッカーにとってより価値があるかを判断していたのです。
クロードは不正行為を完了すると、結果を詳述した文書を作成し、アンスロピックによると、この文書は「最初の侵入キャンペーンで情報収集目的が達成された後、継続的な作戦」のために追加のチームに引き継がれた可能性が高いとのことです。
アンスロピックによると、GTG-1002作戦の調査には10日間かかりました。 「特定されたアカウントは停止し、影響を受けた組織には適宜通知し、当局と連携して実用的な情報を収集しました」と同社は述べています。アントロピック社は、今回の攻撃におけるクロードの使用に関するデータしか保有していませんでした。同社は「このケーススタディは、最先端のAIモデルにおける一貫した行動パターンを反映している可能性があり、脅威アクターが今日の最先端のAI機能を悪用するためにどのように活動を調整しているかを示しています」と述べています。
成功した攻撃はごくわずかでした。アントロピック社によると、実際には反撃ではなく、クロード氏自身の幻覚によって阻止された攻撃もありました。「クロード氏は自律的な活動中に、発見内容を誇張したり、時にはデータを捏造したりしていました」とアントロピック社は述べています。「実際には機能しない認証情報を入手したと主張したり、公開情報であることが判明した重要な発見を特定したりしていました。」
アンスロピック社は、今回の攻撃を受けて、新たな脅威パターンへの対応を強化するために検知能力を拡張し、自律型サイバー攻撃を早期に検知できる新たなプロアクティブシステムの試作を進めていると述べています。
アンスロピック社は、今回の攻撃は「高度なサイバー攻撃を実行する障壁が大幅に低下した」ことの証左だと述べています。経験の浅いグループや十分なリソースを持つグループでさえ、独自のマルウェアや高度なスキルを持つ大規模なハッカーチームを必要とせずに、世界で最も安全なデータベースの一部にアクセスできる可能性があります。
企業はこのような攻撃から身を守るために何ができるでしょうか?アンスロピック社によると、最善の策はサイバーセキュリティ対策にAIを活用することです。攻撃の責任者はクロード氏でしたが、アンスロピック社によると、AIは被害の軽減と調査中に生成されたデータの分析にも役立ったとのことです。そのため、アンスロピック社は、あらゆる業界のセキュリティチームに対し、「セキュリティオペレーションセンターの自動化、脅威の検知、脆弱性評価、インシデント対応などの分野で、AIを防御に適用する実験を行う」ようアドバイスしています。
クロードに突っ込み、その最も高度で潜在的に危険な機能を発見しようとしているアントロピックの最先端レッドチームのリーダー、ローガン・グラハム氏は、X に 書き込み 、この事件によって AI によるサイバー防御が重要だという自身の信念が強まったと述べ、「こうした機能が登場し、我々は攻撃者より先を行くはずだ」と語った。