Anthropicは、人間のハッカーではなく主にAIシステムによって実行された大規模なサイバースパイ活動の初の確認事例として、詳細な報告書を発表しました。
この発表は、2025年9月に行われた10日間の調査に基づくもので、Anthropicの脅威インテリジェンスアナリストは、世界中の約30の組織にわたる組織的な活動を特定しました。標的には、大手テクノロジー企業、金融機関、化学メーカー、政府機関などが含まれていました。Anthropicは、この活動はGTG-1002と称される中国政府支援のグループによって実行されたと高い確度で評価しています。
Anthropic社は、ソフトウェアとインフラストラクチャの自動化機能を提供するClaude Codeを含む、最先端AIモデルのClaudeファミリーを開発しています。同社によると、脅威アクターは、最小限の監視で自律的な侵入活動を実行するように設計されたカスタム攻撃フレームワーク内でClaude Codeを操作したとのことです。侵入に成功したケースは少数でしたが、Anthropic社はこの攻撃を、高度なアクターがAIをサイバー攻撃に統合する方法における著しい進化と位置付けています。
同社は、この活動の規模と速度は人間のチームが現実的に管理できる範囲を超えていたと指摘しています。アナリストは、継続的かつ高頻度で実行されるリクエストパターンを検出しました。AIは、通常であれば複数のチームにまたがる人的作業が必要となる偵察、エクスプロイトコード、ラテラルムーブメントタスクを生成していました。
調査により、AIが侵入ライフサイクルの大部分を自動化していたことが判明
Anthropicによると、GTG-1002は、1年前には成熟した形では存在していなかった3つの新興機能、すなわちモデル推論における高度な知能、エージェントの自律性の向上、そしてモデルコンテキストプロトコルを介した統合ツールチェーンへのアクセスに依存していました。これらの機能を組み合わせることで、攻撃者は攻撃の中核フェーズをClaude Codeにオフロードすることができました。
攻撃フレームワークは、操作を数千の小さな命令に分解し、�それらはそれ自体では正当なものに見えるようにしました。これらの命令は、偽のペルソナで動作する複数のClaudeインスタンスに割り当てられました。攻撃者はこれらのタスクを内部セキュリティ評価と偽装することで、通常は有害な命令をブロックする安全ガードレールを回避しました。Claudeは、より広範なコンテキストを認識しておらず、これらのタスクを自動化されたループの一部として実行しました。
報告書によると、GTG-1002はClaude Codeを偵察、脆弱性調査、エクスプロイト生成、認証情報収集、権限昇格、ラテラルムーブメント、データ抽出に使用していました。攻撃者はほんの一握りの判断ポイントにのみ介入しました。Anthropic社は、キャンペーンの運用作業の80~90%をAIが実行したと推定しています。これには、数千件のリクエストが連続して実行され、時には1秒間に複数のリクエストが実行されるなどが含まれます。
Claude社は、侵入の進行に合わせて詳細な文書も作成しました。これには、侵害されたシステム、収集された認証情報、ファイルディレクトリ、攻撃手順の構造化されたインベントリが含まれており、オペレーターは後続のフェーズですぐに使用できる記録を得ることができました。Anthropic社によると、システムは中断後でも、以前のコンテキストを取得して一連のイベントを再現することで、運用を再開することができました。
検出により、既存の安全対策における機能の限界と抜け穴の両方が明らかに
Anthropic社によると、この攻撃は、リクエストパターン、ツールの呼び出しシーケンス、複数の無関係なセッションにわたる運用の持続性など、Claude社の異常な�コード使用状況の監視を通じて発見されました。悪意のある攻撃であることが確認されると、同社はリンクされたアカウントを禁止し、影響を受けた組織に通知し、同様のエージェントパターンを早期に特定できるように検出モデルの改良を開始しました。
調査では、AIを活用した侵入活動の限界も明らかになりました。クロードは、偽造された認証情報や誤分類された結果など、不正確または検証不可能な情報を生成することがありました。アントロピック社は、これらの幻覚は、オペレーターが実行前に出力を検証する必要があるため、完全自律型サイバー攻撃の障害となり得ると述べています。報告書では、クロードが自律実行中に情報の価値を誇張することが頻繁にあったと指摘しており、機密情報と特定されたデータが既に公開されている場合もその1つです。
同時に、アントロピック社は、これらの脆弱性が脅威プロファイルを大幅に低減するわけではないと警告しています。たとえ誤りがあったとしても、攻撃者は比較的少ない人的介入で、多数の組織にまたがる多段階のキャンペーンを展開することができ、自動化によって高度な訓練を受けた人員の必要性が大幅に軽減されました。
同社は、このインシデントが、サイバー攻撃の悪用に焦点を当てた分類システムの改善と、分散型攻撃パターンを識別するための新たな手法の開発を促したと述べています。また、攻撃者のツールスタックは高度なものではなく、モデルコンテキストプロトコルを介して統合された一般的なオープンソースユーティリティを多用していた点も強調しています。斬新さはツール自体ではなく、オーケスト��レーション、自動化、そして実行量に起因しています。
AIの悪用が将来もたらす広範な影響
アントロピック社は、今回の事例を、エージェント型AIシステムによってもたらされたサイバーリスクの広範な変化の証拠と位置付け、これまでは豊富なリソースを持つグループに限られていた手法に、経験の浅い攻撃者もアクセスできる可能性があると指摘しています。同社はこの事例を、2025年半ばに報告された「バイブハッキング」の調査結果と比較しています。当時も攻撃の大部分の段階は依然として人間が指揮していました。9月の作戦は規模と人間による監視頻度の低下という点で異なっていました。
この報告書は、AIの進歩が安全策の適用よりも速いペースでリスクを増大させるかどうかという問題に取り組んでいます。アントロピック社は、攻撃に用いられるのと同じ能力が防御にも不可欠であり、開発を制限すれば防御側は同等のツールを利用できなくなると主張しています。同社は、インシデント発生時に生成された膨大なログとイベントデータを分析するために、独自の調査においてClaudeを広範に活用しました。
アントロピックは、組織は脅威検知、脆弱性評価、インシデント対応を含むセキュリティ運用にAIを直接統合し始めるべきだと結論付け、業界団体や政府機関に対し、脅威情報の共有を拡大し、AIプラットフォーム全体にわたるより強力な安全管理に投資するよう強く求めています。アントロピックは報告書の中で、「今回のキャンペーンは、高度なサイバー攻撃を実行するための障壁が大幅に低下したことを実証しており、今後もこの傾向が続くと予測できます」と述べ�ています。