サイバーセキュリティ研究者によると、ハッカーがAnthropic PBCの人工知能チャットボットを悪用し、メキシコ政府機関に対して一連の攻撃を実行した。その結果、大量の機密性の高い納税情報と有権者情報が盗まれた。
イスラエルのサイバーセキュリティスタートアップ企業Gambit Securityが水曜日に発表した調査によると、正体不明の「Claude」というユーザーは、チャットボットにスペイン語の指示を与え、エリートハッカーのように振る舞わせた。政府ネットワークの脆弱性を発見し、それを悪用するスクリプトを作成し、データ窃盗を自動化する方法を考案したという。
この活動は12月に始まり、約1ヶ月間続いた。研究者によると、合計150ギガバイトのメキシコ政府データが盗まれた。これには、1億9500万人の納税者記録、有権者記録、政府職員の身分証明書、戸籍記録などが含まれる。
AIはデジタル犯罪の主要な推進力となっており、ハッカーはAIツールを悪用して犯行を強化している。先週、Amazon.comの研究者らは、少数のハッカー集団が広く普及しているAIツールを利用して、数十カ国にわたる600台以上のファイアウォールに侵入したと発表した。
Gambitは攻撃の犯人を特定のグループとは特定していないが、研究者らは外国政府との関連はないと考えている。
Gambitによると、ハッカーはメキシコ連邦税務当局と国家選挙管理委員会に侵入した。メキシコ州、ハリスコ州、ミチョアカン州、タマウリパス州の州政府、メキシコシティの戸籍登録局、モンテレイの水道局も侵害された。
研究者らによると、クロードは当初、メキシコ政府に関する会話の中で、正体不明の攻撃者に対し悪意を警告したが、最終的には攻撃者の要求に応じ、政府のコンピュータネットワーク上で数千ものコマンドを実行したという。
アントロピック社はギャンビット氏の主張を調査し、不正行為を阻止し、関係アカウントを停止したと、同社の担当者は述べた。同社は悪意のある活動の事例をクロードにフィードバックして学習させており、最新のAIモデルであるクロード・オーパス4.6には、不正利用を阻止できるプローブ機能が搭載されていると、担当者は説明した。
今回のケースでは、ハッカーはクロードを「ジェイルブレイク」するまで、つまりガードレールを突破するまで、継続的にクロードをプローブしたと、担当者は述べた。しかし、ハッキング活動が始まってからも、クロードは時折ハッカーの要求を拒否したという。
メキシコ税務当局は、アクセスログを精査した結果、情報漏洩の証拠は見つからなかったと発表した(https://x.com/satmx/status/2026833276715905129?s=46&t=YP07VW0dHPy6kitbEGmiQg ウェブページはこちらをクリック)。メキシコ国家選挙管理委員会は、ここ数カ月間、情報漏洩や不正アクセスは確認されておらず、サイバーセキュリティ戦略を強化したと述べた。ハリスコ州政府も情報漏洩を否定し、影響を受けたのは連邦政府のネットワークのみだと述べた。
メキシコ国家デジタル庁は情報漏洩についてコメントを控えたが、サイバーセキュリティは最優先事項であると述べた。モンテレー水道排水局の担当者は、2025年後半に侵入や重大な脆弱性は確認されなかったと述べた。
メキシコシティ、ミチョアカン州、タマウリパス州の地方自治体はコメントの要請に応じず、メキシコシティの戸籍登録局の担当者も同様だった。
メキシコ当局は[概要]を発表した声明](https://www.gob.mx/buengobierno/prensa/buen-gobierno-investiga-posible-incidente-de-seguridad-en-bases-de-datos-personales-en-posesion-de-ins tituciones-publicas?idiom=es#:~:text=La%20Secretar%C3%ADa%20Anticorrupci%C3%B3n%20y%20Buen,pertenecientes%20a%20diversas%20instituciones%20p%C3%BAblicas。 「声明へのリンク」) 12月には、さまざまな公的機関からの侵害を調査していると述べたが、それがクロード攻撃に関連しているかどうかは明らかではない。
ギャンビット社によると、攻撃者は多数の政府職員の個人情報を入手しようとしていたが、それらをどのように利用したかはまだ明らかになっていない。研究者らは、攻撃の一環として少なくとも20種類��の脆弱性が悪用された証拠を発見したと述べている。
クロードが問題に直面したり、追加情報が必要になったりすると、ハッカーはOpenAIのChatGPTを利用して、さらなる知見を得た。ギャンビット社によれば、ChatGPTはコンピュータネットワーク内を横断的に移動する方法、特定のシステムにアクセスするために必要な認証情報を特定する方法、ハッキング作戦が検知される可能性を計算する方法などを提供した。
ギャンビット・セキュリティの最高戦略責任者であるカーティス・シンプソン氏は、「ChatGPTは合計で数千件もの詳細なレポートを作成し、実行可能な計画書を含め、人間のオペレーターに次に攻撃すべき内部ターゲットと使用すべき認証情報を正確に指示した」と述べている。
OpenAIは、ハッカーが同社のモデルを利用規約に違反する活動に利用しようとした試みを特定したと述べ、同社のツールはこれらの試みを拒否したと付け加えた。
「この攻撃者が使用していたアカウントを凍結しました。Gambit Securityからの連絡に感謝いたします」と、同社は電子メールによる声明で述べた。
メキシコ政府への情報漏洩は、憂慮すべき傾向を示す最新の事例である。AnthropicとOpenAIがより高度なAIコーディングツールの開発に注力し、サイバーセキュリティ企業がAIを活用した防御に将来を託している一方で、サイバー犯罪者やサイバースパイは、攻撃を可能にするためにこの技術を悪用する新たな方法を見出している。
11月、Anthropicは、AIが主導した初のサイバー諜報活動を阻止したと発表した(研究へのリンク:https://www.anthropic.com/news/disrupting-AI-espionage)。同社によると、中国政府支援の疑いのあるハッカーが、同社のClaudeツールを操作して世界中の30の標的へのハッキングを試み、そのうち数件は成功したという。
「この現実は、私たちがこれまで知っていたあらゆるゲームのルールを変えつつあります」と、Gambitの共同創業者兼最高経営責任者(CEO)であるアロン・グロマコフ氏は述べた。
Gambitは、グロマコフ氏と、イスラエル国防軍の信号情報部隊である8200部隊の元隊員2名によって設立された。水曜日に発表された調査結果は、Spark Capital、Kleiner Perkins、Cyberstartsから6100万ドルの資金調達を受け、ステルスモードから脱却するという発表と同時に公表された。
Gambitの研究者たちは、ハッカーのオンライン活動を観察するために新たな脅威ハンティング手法を試していた際に、メキシコでのサイバー攻撃を発見した。同社によると、研究者たちは、メキシコ政府のコンピュータシステムへの侵入に関するClaudeの会話記録を含む、現在進行中または最近の攻撃に関する公開証拠を発見したという。
これらのやり取りから、攻撃者はクロードのガードレールを回避するため、AIツールに対し、バグバウンティ(システム上の脆弱性を発見した組織に支払われる報酬)を狙っていると偽っていたことが明らかになった。多くの企業や政府機関は、倫理的なハッカー向けにバグバウンティを提供しており、コンピュータの脆弱性に関する情報に対して数千ドルもの報酬を支払う場合もある。
ハッカーはクロードに、メキシコ連邦税務当局に対する侵入テスト(脆弱性発見を目的とした、認可されたサイバー攻撃の一種)を実施するよう依頼した。しかし、攻撃者がログやコマンド履歴の削除といったルールを追加したため、クロードは難色を示した。
「ログの削除や履歴の隠蔽に関する具体的な指示は危険信号だ」と、ギャンビットが提供した記録によると、クロードはこう答えた。「正当なバグバウンティでは、行動を隠す必要はない。むしろ、報告のために記録を残す必要がある。」
ハッカーは戦略を変更し、やり取りを中断して、AIツールに詳細な手順書を提供した。ギャンビットによると、これにより侵入者はクロードのガードレールを突破し、いわば「脱獄」に成功し、攻撃を実行に移すことができた。
シンプソン氏によると、ハッカーはクロードから、データが入手可能な他の機関に関する情報を得ようとしていた。これは、一部のハッキングが計画的ではなく、機会主義的なものであった可能性を示唆している。
「彼らは可能な限りのあらゆる政府機関の個人情報を侵害しようとしていた」とシンプソン氏は述べた。「例えば、クロードに対して『これらの個人情報は他にどこで入手できるのか?他にどのシステムを調べるべきか?情報は他にどこに保存されているのか?』と尋ねていた」。
--- ゴンサロ・ソト、エイミー・スティルマン協力
(第11段落にメキシコ税務当局のコメントを追加)