ZDNET の主なポイント
- Anthropic は、AI を利用した大規模サイバー攻撃を記録しました。
- Anthropic は、中国の国家支援を受けたグループが攻撃の犯人だと述べています。
- この攻撃は、この種の攻撃としては初めての事例となる可能性があります。
人工知能 (AI) を単なるデジタルアシスタント以上のものとして活用した、初の大規模サイバー攻撃キャンペーンが記録されました。
ウォール・ストリート・ジャーナル が最初に報じたように、AI アシスタント Claude を開発する Anthropic 社は、複数の組織を同時に標的とした大規模な攻撃キャンペーンで乗っ取られた AI モデルの悪用を記録した レポート (.PDF) を公開しました。
何が起こったのでしょうか? --------------
9月中旬、Anthropic社は、攻撃サイクル全体を通してAIを活用した「高度に洗練されたサイバースパイ活動」を検知しました。
エージェントAIであるClaude Codeは、「偵察、脆弱性発見、エクスプロイト、ラテラルムーブメント、認証情報収集、データ分析、そして情報漏洩」を可能にする自動攻撃フレームワークの作成に悪用されました。さらに、これらの段階は「ほぼ自律的に」実行され、Claude Codeに「ペネトレーションテストのオーケストレーター兼エージェント」として、つまり防御側のふりをするよう指示した後、人間のオペレーターが基本的な監視を提供していました。
このAIは標的組織の脆弱性を発見しただけでなく、エクスプロイト、データ窃取、その他の悪意のあるエクスプロイト後の活動も可能にしました。
Anthropic社によると、この結果、著名な組織が標的となっただけでなく、「戦術的活動」の80%から90%がAIによって独自に実行されたとのことです。
「綿密に作成されたプロンプトと確立されたペルソナを用いて、これらのタスクをクロードに通常の技術的要求として提示することで、脅威アクターは、より広範な悪意のあるコンテキストにアクセスすることなく、クロードに攻撃チェーンの個々のコンポーネントを実行させることができました」とAnthropicは述��べています。
誰が実行し、Anthropicはどのように対応しましたか?
Anthropicによると、この作戦の中心には中国政府が支援するグループがいたとされています。現在GTG-1002として追跡されており、国家の支援を受け十分な資金力を持つと考えられているこのグループは、キャンペーンにおいてクロードを利用していましたが、それ以上のことは知られていません。
Anthropicは自社の技術の悪用を発見するとすぐに、GTG-1002に関連するアカウントを禁止し、悪意のある活動検出システムを拡張しました。これにより、同社が「新しい脅威パターン」と呼ぶもの、例えばGTG-1002がシステムを本物の防御ベースのペネトレーションテスターのように動作させるために使用したロールプレイなどを発見できると期待されています。
アントロピック社は、自律型サイバー攻撃を阻止するための早期検知対策のプロトタイプも開発しており、当局と業界関係者の両方がこのインシデントを認識していました。
しかし、同社はサイバーセキュリティコミュニティ全体に対して警告を発し、警戒を怠らないよう促しました。
「サイバーセキュリティコミュニティは、根本的な変化が起こったと認識する必要があります。セキュリティチームは、SOC自動化、脅威検知、脆弱性評価、インシデント対応などの分野でAIを防御に適用する実験を行い、自社の環境で有効な方法を蓄積する必要があります」とアントロピック社は述べています。「また、敵対者による悪用を防ぐために、AIプラットフォーム全体にわたる安全対策への継続的な投資が必要です。本日ご紹介する手法は、脅威ランドスケープ全体に広がる��ため、業界における脅威の共有、検知手法の改善、そしてより強力な安全管理がこれまで以上に重要になります。」
この攻撃は重要ですか?
最近、世界中の脅威アクターが、悪意のあるツール、手法、攻撃にAIをどのように活用できるかを模索しているという最初の兆候が確認されました。しかし、これまでこれらの対策は、少なくとも公開されている範囲では、軽微な自動化と支援、フィッシング対策の改良、一部の動的コード生成、メール詐欺、一部のコード難読化など、比較的限定的でした。
Anthropic事件とほぼ同時期に、ChatGPTの開発元であるOpenAIが独自のレポートを発表し、OpenAIモデルが「新たな攻撃能力」を得るために悪用されたという証拠はほとんど、あるいは全くないと述べていました。GTG-1002は、組織を自動的かつ同時に標的とするAIの実装に注力していました。
(開示:ZDNETの親会社であるZiff Davisは、2025年4月にOpenAIを相手取り訴訟を起こし、同社のAIシステムのトレーニングと運用においてZiff Davisの著作権を侵害したと主張しました。)
約30の組織が標的となりました。これらの攻撃のうち、成功したのは「ほんの一握り」という少数でした。しかし、これはAIの幻覚や、データの捏造、有効な認証情報の取得に関する完全な虚偽など、様々な問題が原因でした。したがって、この事例は依然として注目に値するものの、技術の進歩には繋がるものの、AIの終末論にはまだ至っていないと言えるでしょ��う。
あるいは、Anthropicが述べたように、この発見は「高度な脅威アクターによるAIの利用方法における根本的な変化を象徴している」と言えるでしょう。