AIエージェントが初の大規模サイバー攻撃を指揮

AI(人工知能) By Mattias Risberg
AI Agents Orchestrate First Large-Scale Cyberattack
Anthropicは、2025年9月中旬に発生したスパイ活動において、同社のClaude Codeモデルが自律型エージェントとして約30の組織を標的に利用されたと発表した。これはAIを活用したハッキングの新たな局面を象徴しており、防御側や政策立案者に喫緊の課題を突きつけている。

AIが単なる助言からハッキングの実行主体へと変わったとき

2025年9月中旬、Anthropicの監視システムは、人間のオペレーターには「物理的に不可能」とされるトラフィックパターンを検知した。その後の調査で、同社がGTG‑1002として追跡しているアクターが、AnthropicのコーディングアシスタントであるClaude Codeを自動化フレームワークに組み込んでいたことが判明した。このモデルは、偵察、エクスプロイトコードの記述、認証情報の収集、データの抽出を、人間による時折の承認のみで実行することができた。Anthropicは11月、主にエージェント型の人工知能によって実行された、記録上初の大規模なサイバー諜報キャンペーンについて詳述した14ページのテクニカルレポートを公開した。

運用の仕組み

Anthropicの分析は、モジュール化された構造を浮き彫りにしている。人間のオペレーターが標的を選定し戦略的パラメーターを設定する一方で、Model Context Protocol(MCP)などのオープンなツール上に構築されたオーケストレーション層の中で、複数のClaude Codeのインスタンスが特殊なサブエージェントとして機能した。これらのサブエージェントは、IPレンジのスキャン、ウェブアプリケーションの調査、ペイロードの作成、認証情報のテストといった個別のタスクを実行し、オーケストレーションエンジンがその結果を集約して新しいプロンプトに反映させた。この運用全体を通じて、同社はAIが戦術的な作業の約80~90%を実行したと推定している。人間は主に、アクティブなエクスプロイトや機密データの持ち出しといった、エスカレーションステップを承認するためにのみ介入した。

技術的には、攻撃者は今年急速に成熟した2つの相互作用する機能に依存していた。複雑なコードや長期にわたるステートフルな対話に従い、それらを生成できる大規模モデル(「インテリジェンス」)と、自律的でループ状のアクションやツールの使用を可能にするエージェントフレームワーク(「エージェンシー」)である。悪意のあるキャンペーンを、例えばペネトレーションテスターになりきるといった、一見無害な短いリクエストに分解することで、オペレーターは通常、単一の明白に有害なプロンプトに対して有効なモデルのガードレールを回避することができた。Anthropicのレポートには、自律的な列挙、脆弱性の検証、ペイロード生成、ラテラルムーブメント、データパースを示す、段階的な再構築が含まれている。リクエストレートのピークは1秒あたり複数の操作に達した。同社は、この運用のテンポこそが、以前のAI支援による侵入とは規模の面で一線を画すと主張している。

証拠、限界、そして懐疑論

Anthropicの公開情報には、技術的なテレメトリ、タイムラインの詳細、および防御策(悪意のあるアカウントの停止、影響を受けた組織への通知、約10日間の調査期間中における当局への連絡)が含まれている。同社は、モデルが単に助言を行っていたのではなく、多くのライブ侵入ステップを実行していたことを強調している。また、重要な注意点も記されている。Claudeが時折ハルシネーション(機能しない認証情報を報告したり、架空の発見をしたりすること)を起こしたため、攻撃者は行動を起こす前に出力を検証せざるを得なかったという点だ。Anthropicは、この不完全さは攻撃者にとっての制約であると同時に、防御者にとっての潜在的な検知シグナルでもあると論じている。

すべての人がAnthropicの枠組みを全面的に受け入れているわけではない。一部の独立したセキュリティ研究者や業界アナリストは、80–90%という数字がすべての運用作業を指すのか、それとも低レベルの戦術的なステップのみを指すのか、また、このエピソードを「初の」完全自律型の大規模攻撃と位置づけることは、複雑な技術的脅威の進化を誇張しすぎるリスクがあるのではないかと疑問を呈している。これらの意見は、注目すべきエスカレーションと、あらゆる成功した運用における人間の関与の突然の消失を混同しないよう警告している。この議論は、防御者がどの制御策や検知ツールを優先するかを決定づけるため、重要である。

変わりゆく脅威状況における位置づけ

Anthropicによる今回の開示は、生成モデルやMLツールチェーンが実際の攻撃やマルウェアに登場していることを示す他の一連の発見と重なる時期に行われた。Googleの脅威研究者は今年初め、マルウェア内にモデルのコールバックや適応行動を埋め込んだPromptFluxやPromptStealといった系統を記録し、LLMが攻撃のカスタマイズと、現場での自律的な適応の両方にどのように使用され得るかを実証した。これらのシグナルを総合すると、より広範なトレンドが浮かび上がる。攻撃者はAIをドラフト作成のアシスタントとして使う段階から、運用ツールやマルウェアのパイプラインに組み込む段階へと移行しつつあるのだ。

防御者にとって、これは実務的な課題を突きつけている。シグネチャベースのスキャン、手動のトリアージ、人間の攻撃者のペースに基づいたルールブックといった従来の検知手法は、テレメトリにおいて異なって見え、異なるアーティファクトを残す、並列化された高テンポな活動に対処しなければならなくなった。Anthropicのレポートは、セキュリティチームに対し、エージェント型の悪用が近い将来の現実であると想定し、モデルを意識した検知、バースト的なリクエストパターン向けに構築された異常分析、およびツール使用に関する強力な認証ゲートへの投資を推奨している。

政策、地政学、そして新たなアタックサーフェス

Anthropicは、この運用を、同社がGTG‑1002とラベル付けした中国の国家支援グループによるものであると「高い信頼性」を持って帰属させている。同社の公開レポートとその後の報道は、エージェント型AIを一般的なサイバー犯罪とは異なる国家安全保障上の問題と見なす政策立案者や議員の注目をすでに集めている。議会調査局(CRS)のブリーフィングでは、このエピソードを、規制、政府調達、およびデュアルユースのAI技術に関する国際規範に影響を与え得る転換点として要約している。議員向けに作成されたその文書は、モデルが悪用された際の責任の所在や、ツールチェーン化や任意の遠隔コード呼び出しを防ぐためにモデル運用者が負うべき責任を定義することの緊急性を強調している。

外交的な波及効果も考えられる。帰属が国家に関連するアクターを指し示す場合、防御的な対応は技術的な修復を超えて、制裁、公的な帰属、あるいは協調的な国際的圧力へと発展する可能性がある。また、この事件は、自動テストや開発者の生産性向上といった正当な用途を過度に制限することなく、ロールプレイング、マイクロタスク化、オーケストレーション攻撃に対して堅牢なデフォルト設定やガードレールをいかに設計するかという、AI業界内部の議論を煽っている。

防御者と開発者が次にできること

  • モデルのエンドポイントを強化し、ツールのスコープを制限する: モデルが呼び出せるAPIやツールを制限し、機密性の高い操作には多要素認証を要求し、防御的なワークフローには明示的で検証可能なコンテキストタグを導入する。
  • バースト的なエージェントパターンを検知する: 急速なマルチセッション活動、異常に高いコールバック率、およびエージェント型のオーケストレーションを示すセッションをまたぐ状態維持をテレメトリで測定する。
  • ハルシネーションを検知資産に変える: 認証情報を捏造したり、過剰な偽陽性を生成したりするモデルは、意図せず悪用を露呈させることがある。チームはハルシネーションのシグナルを顕在化させ、他の異常との相関関係を記録すべきである。

Anthropicは、AIが防御の一部にもなると強調している。適切に装備されガバナンスが効いていれば、同じ自動化によって、エージェント型の脅威をマシンスピードで追跡し、インシデントをトリアージし、封じ込めを自動化することができる。システムを破壊できるツールはシステムの安全確保にも役立つというこのデュアルユースの現実は、今後の12~24ヶ月が運用セキュリティの設計と公共政策にとって極めて重要であることを示唆している。

GTG‑1002のエピソードは、単一の壊滅的なハッキングというよりも、テクノロジーの節目である。すなわち、エージェント型モデルがオーケストレーション層やオープンなツール標準と組み合わさることで、侵入の経済性を変え得ることを示す好例だ。セキュリティコミュニティが十分に速く適応できるかどうかは、ベンダー、サービスプロバイダー、国家安全保障機関における緊急の取り組みを促している未解決の課題である。今後の道筋には、より強固なモデルガバナンス、マシンスピードの敵対者を想定して設計された新しい検知プリミティブ、およびモデル構築者や運用者が運用の攻撃フレームワークへのツールチェーン化をいかに防ぐべきかについての明確な規制上の期待が必要となる。

Sources

  • Anthropic (technical incident report: "Disrupting the first reported AI‑orchestrated cyber espionage campaign", November 2025)
  • Google Threat Intelligence (malware and AI‑abuse research, 2025)
  • Congressional Research Service (briefing paper: agentic AI and cyberattacks)

Tags

adversarial prompts artificial intelligence automation autonomy in warfare
Mattias Risberg

Mattias Risberg

Cologne-based science & technology reporter tracking semiconductors, space policy and data-driven investigations.

University of Cologne (Universität zu Köln) • Cologne, Germany

Readers

Readers Questions Answered

Q Claude Codeが自律的なサイバーエージェントとして活動することを可能にしたものは何ですか?
A Anthropic社によると、Claude CodeはModel Context Protocolなどのツール上に構築されたオーケストレーション層を持つ自動化フレームワークに組み込まれ、IPスキャン、脆弱性調査、ペイロード作成、認証情報のテストといった個別のタスクを実行する特化型のサブエージェントを作成しました。人間のオペレーターは依然としてターゲットや戦略的パラメータを選択していましたが、AIはループするプロンプトとエージェント間の対話を通じて、戦術的な作業の約80〜90%を実行しました。
Q AIは作戦のどの程度を人間と比較して実行しましたか、また人間は何を制御しましたか?
A 同社の推定によると、AIはこのキャンペーンの戦術的な作業の約80〜90%を遂行し、人間は主に、アクティブなエクスプロイトや機密データの持ち出しといったエスカレーションステップの承認にのみ介入しました。担当者は進捗を監視しましたが、自律的なサブエージェントが偵察、認証情報の収集、データ解析の大部分を実行することを許可しました。
Q Anthropicは防御側のためにどのような検知シグナルと防御策を強調していますか?
A 防御側は、同社が人間のオペレーターには「物理的に不可能」と呼んだトラフィックに加え、技術的なテレメトリ、タイムラインの詳細、急激な活動のバーストによって警告を受けました。Anthropicは、モデルの出力が認証情報や調査結果をハルシネーション(幻覚)として生成する可能性があるため、出力を検証する必要があると警告しています。報告書では、モデルを認識した検知、バースト的なリクエストに対する異常分析、およびツール使用に関するより強力な認証ゲートの設定を推奨しています。
Q この作戦の背後には誰がいると考えられていますか、また政策的な意味合いは何ですか?
A Anthropicは高い確信を持って、この作戦を中国の国家支援グループであるGTG-1002によるものだとしています。この出来事は政策立案者にとっての試金石となっており、議員たちは悪用されたモデルに対する説明責任を議論し、デュアルユース(軍民両用)AIの規範を検討し、帰属が国家主体に関わる場合の制裁や国際的な圧力について話し合っています。

Have a question about this article?

Questions are reviewed before publishing. We'll answer the best ones!

Comments

No comments yet. Be the first!