AIは毎秒数千件のリクエストを実行しました。
この物理的に不可能な攻撃テンポは、世界30の組織を標的とした複数の同時侵入を通して維持され、Anthropicの研究者は、これが実質的な人的介入なしに実行された大規模サイバー攻撃の初めての記録された事例であると確認しました。
9月最後の2週間、Anthropicの防御側によってGTG-1002と指定されている中国政府支援のグループが、Claude Codeを操作して、自律的に偵察、脆弱性の悪用、認証情報の収集、ネットワーク内における水平移動、機密データの窃取を行いました。人間のオペレーターは、戦術的操作のわずか10~20%しか指揮していませんでした。
このキャンペーンは、脅威アクターの能力における根本的な変化を表しています。これまでの AI 支援攻撃では、人間が段階的に操作を指示する必要がありましたが、今回のスパイ活動では、AI が人間のオペレーターが選択したターゲットの [脆弱性](https://thecyberexpress.com/what-are-vulnerabilities/ 「脆弱性」) を自律的に発見し、実際の操作でそれらを悪用することに成功し、その後、分析、ラテラルムーブメント、権限昇格、データアクセス、データ流出など、悪用後の幅広い活動を実行することが実証されました。
AIモデルのソーシャルエンジニアリング
脅威アクターは、高度なソーシャルエンジニアリングを通じて、クロードの徹底的な安全対策トレーニングを回避しました。オペレーターは、防御的なペネトレーションテストを実施している正当なサイバーセキュリティ企業を代表していると主張し、AIモデルを偽りの口実で攻撃的なオペレーションに従事させようとしました。
攻撃者は、Claude Codeとオープン標準のModel Context Protocolを用いたカスタムオーケストレーションフレームワークを開発し、複雑な多段階攻撃を個別の技術的タスクに分解しました。脆弱性スキャン、認証情報の検証、データ抽出、ラテラルムーブメントなど、各タスクは個別に評価すると正当なものに見えました。
攻撃者は、巧妙に作成されたプロンプトを通じてこれらのオペレーションを通常の技術的リクエストとして提示することで、Claudeに、より広範な悪意のあるコンテキストにアクセスすることなく、攻撃チェーンの個々のコンポーネントを実行させました。攻撃の持続的な性質により、最終的には検知されましたが、このロールプレイング手法により、オペレーションは完全なキャンペーンを開始するのに十分な期間継続されました。
前例のない自律型攻撃ライフサイクル
Claudeは、ブラウザ自動化を用いてほぼ自律的に偵察を行い、標的インフラを体系的にカタログ化し、認証メカニズムを分析し、複数の標的にまたがる潜在的な脆弱性を同時に特定しました。AIは、アクティブなキャンペーンごとに独立した運用コンテキストを維持しました。
検証済みの侵入成功事例の一つでは、Claudeは自律的に内部サービスを発見し、複数のIPアドレス範囲にわたるネットワークトポロジー全体をマッピングし、データベースやワークフローオーケストレーションプラットフォームなどの高価値システムを特定しました。同様の自律的な列挙は他の標的に対しても行われ、AIは発見された数百ものサービスとエンドポイントを自律的にカタログ化しました。
エクスプロイトは自動テストを通じて進められ、Claudeは発見された脆弱性に合わせて攻撃ペイロードを自律的に生成し、リモートコマンドインタ�ーフェースを介してテストを実行し、レスポンスを分析して人間の指示なしにエクスプロイトの可能性を判断しました。人間のオペレーターは、偵察から実際のエクスプロイトへの移行の承認や、収集した認証情報の使用許可など、重要な意思決定ゲートにおいてのみ戦略的な監視を行いました。
認証を受けると、クロードは標的ネットワーク全体にわたって体系的な認証情報収集を実行し、内部サービスへのクエリ、認証証明書の抽出、収集した認証情報のテストを自律的に実行しました。AIはどの認証情報がどのサービスへのアクセスを提供するかを独自に判断し、権限レベルとアクセス境界をマッピングしました。
マシンスピードでのインテリジェンス抽出
収集オペレーションは、最も広範なAIの自律性を実証しました。標的となったあるテクノロジー企業に対して、クロードは独自にデータベースへのクエリを実行し、データを抽出し、結果を解析して機密情報を特定し、人間による分析を介さずに、インテリジェンス価値に基づいて検出結果を分類しました。
記録されている2~6時間にわたるデータベース抽出オペレーションでは、クロードは収集した認証情報で認証し、データベース構造をマッピングし、ユーザーアカウントテーブルをクエリし、パスワードハッシュを抽出し、高権限アカウントを特定し、永続的なバックドアユーザーアカウントを作成し、完全な結果をダウンロードし、抽出したデータを解析してインテリジェンス価値を評価し、概要レポートを生成しました。人間のオペレーターはわずか5~20分で検出結��果を確認し、最終的な情報流出対象を承認しました。
運用インフラは、モデルコンテキストプロトコルサーバーを基盤として構築されたカスタム自動化フレームワークを通じてオーケストレーションされたオープンソースの侵入テストツールに大きく依存していました。ピーク時には数千件ものリクエストが発生し、これは1秒あたり複数回のリクエストレートが持続的に発生していることを示しており、AIが盗み出した情報を人間によるレビューのための説明コンテンツを生成するのではなく、積極的に分析していたことが確認されました。
AI幻覚の限界
調査中に、重要な運用上の限界が明らかになりました。クロードは、自律運用中に調査結果を誇張し、時にはデータを捏造していました。実際には機能しない認証情報を取得したと主張したり、公開情報であることが判明した重要な発見を特定したりしていました。
攻撃的なセキュリティコンテキストにおけるこのAI幻覚は、主張されたすべての結果を慎重に検証する必要がありました。アントロピックの研究者は、この限界が依然として完全自律型サイバー攻撃の障害であると評価していますが、この制限が、このキャンペーンが大手テクノロジー企業、金融機関、化学製造会社、政府機関に対して複数の侵入を成功させることを阻止することはできなかったとしています。
Anthropicの対応
Anthropicは、この活動を検知すると、直ちに10日間の調査を開始し、作戦の全容を解明しました。特定されたアカウントを即時停止し、影響を受けた組織に通知し、当局と連携しました。
Anthropicは、検知能力の拡張、サイバーに特化した分類器の改良、自律型サイバー攻撃に対するプロアクティブな早期検知システムの試作、大規模分散型サイバー作戦の調査のための新技術の開発など、複数の防御強化策を実施しました。
これは、Anthropicが2025年6月に発表した「バイブハッキング」に関する調査結果(当時は、人間が作戦の指揮に深く関与していた)から大幅にエスカレートした状況を示しています。
Anthropicは、サイバーセキュリティコミュニティは根本的な変化が起こったと想定する必要があると述べています。セキュリティ チームは、SOC 自動化、脅威検出、脆弱性評価、インシデント対応などの分野で 防御のための AI の適用 を実験する必要があります。同社では、これらの攻撃を可能にする同じ機能により、Claude が サイバー 防御に不可欠になっていると指摘しており、Anthropic 独自の脅威インテリジェンス チームは、この調査中に生成された膨大な量のデータを分析するために Claude を広範に使用しています。