大規模なAI主導サイバー攻撃の初の報告書、アンスロピックのAI攻撃報告が巻き起こした論争

AI企業のアンスロピック社が、2025年11月中旬に発表したセキュリティレポートに関して、サイバーセキュリティ業界で激しい議論を呼んでいます。同社のAIアシスタント「Claude」が中国政府系ハッキンググループに悪用され、「初めて公に報告されるAI主導のサイバー攻撃」と位置付けられています。これに対し、専門家からは「誇張ではないか」「検証可能な証拠が不足している」といった批判が出ています。

6段階のライフサイクルで行われたAI主導攻撃

アンスロピック社のレポートは、2025年11月13日に公開されました。同社によれば、「GTG-1002」と呼ばれる中国国家支援のハッキンググループが、Claudeを使った大規模なサイバー攻撃キャンペーンを展開したとされています。約30の組織が標的とされ、同社によれば大手テクノロジー企業、金融機関、化学製造会社、政府機関などが含まれていたといいます。同社はこの事案を、サイバーセキュリティの転換点であり、実質的な人間の介入なしに実行された大規模なサイバー攻撃の、初の文書化された事例だと強調しています。ただし、具体的な組織名は明らかにされていません。

では、AI主導によるサイバー攻撃とはどのようなものだったのでしょうか。レポートによると、攻撃は6段階のライフサイクルに沿って進行したと説明されています。

フェーズ1

ターゲットの選定。人間のオペレーターがターゲットを入力し、Claudeをロールプレイで欺きました。正当なサイバーセキュリティ企業の従業員を装い、防御的なセキュリティテストを行っていると信じ込ませることで、Claudeの安全機能を回避したとのことです。

フェーズ2

偵察と攻撃対象の特定。ここでは、Claudeが複数のターゲットに対して並行して自律的に偵察を実施。MCP（Model Context Protocol）を活用してブラウザ自動化などのツールを使用し、ターゲットのインフラを体系的にカタログ化し、認証メカニズムを分析、潜在的な脆弱性を特定しました。

フェーズ3

脆弱性の発見と検証。Claudeが独自に攻撃ペイロードを生成し、リモートコマンドインターフェースを通じてテストを実行。例えば、SSRF（サーバーサイドリクエストフォージェリ）脆弱性を特定し、エクスプロイトチェーンを開発し、コールバック応答を通じて検証する、という作業を1～4時間で自律的に実行。人間は最終的な承認として関与、その時間はわずか2～10分とのことです。

フェーズ4

認証情報の収集と横方向の移動。Claudeが内部サービスへの問い合わせ、設定からの認証証明書の抽出、収集した認証情報のテストを体系的に実行。どの認証情報がどのサービスにアクセスできるかを独自に判断し、特権レベルとアクセス境界をマッピングしました。

フェーズ5

データ収集とインテリジェンス抽出。「最も広範なAI自律性を示したフェーズ」としており、標的のテクノロジー企業に対して、Claudeが独自にデータベースにクエリを実行し、データを抽出、結果を解析して機密情報を特定し、インテリジェンス価値別に分類したといいます。データベース抽出作業では2～6時間かけて認証、データベース構造のマッピング、パスワードハッシュの抽出、バックドアアカウントの作成、データのダウンロードと分析を自律的に実行し、人間は最終承認のみに関与します。その時間は5～20分のみです。

フェーズ6

文書化と引き継ぎ。Claudeがすべてのキャンペーンフェーズを通じて、包括的な攻撃文書を自動生成します。発見されたサービス、収集した認証情報、抽出データ、エクスプロイト技術、完全な攻撃進行を追跡する構造化されたマークダウンファイルを作成しました。

アンスロピック社の主張：攻撃の80～90%をAIが自律実行

アンスロピック社のレポートによれば、当該キャンペーン全体において人間のオペレーターが担ったのは10～20%のみで、AIが80～90%を自律的に実行したとされています。人間の関与は散発的で、キャンペーンごとに4～6回の重要な意思決定を行うにとどまり、Claude Codeが偵察、脆弱性の発見、認証情報の収集、データ抽出といった複雑な作業を自律的に実行したといいます。

さらに、ピーク時には1秒あたり複数の操作を実行する持続的なリクエスト率を達成するなど、Claudeは短時間に多数の操作を連続実行し、数日にわたるセッションでも攻撃の経緯や状況を記憶し続けたとされています。

特に注目されるのが、MCPを中心とした自動化フレームワークです。MCPはアンスロピック社が開発した、AIが外部ツールやデータと連携するための仕組みで、本来は開発者の生産性向上を目的としたものです。

しかし攻撃者はこの正規の機能を悪用し、ネットワークスキャナー、データベースエクスプロイトフレームワーク、パスワードクラッカー、バイナリ解析スイートなど、既存のオープンソース攻撃ツールをMCPサーバー経由で統合しました。その結果、Claudeにこれらのツールを自律的に実行させる攻撃基盤が構築されていたとしています。自社が提供した技術が、結果として自社のAIを用いた攻撃を可能にしたという点は皮肉な構図です。

アンスロピック社は、こうした攻撃側のAI活用能力について、「このキャンペーンはAIエージェント時代のサイバーセキュリティに大きな影響を及ぼす。長期間自律的に実行でき、人間の介入なしに複雑なタスクを完了できるシステムだ」と警鐘を鳴らしています。

なぜ攻撃者だけが90%の自動化を達成できるのか

この報告が公開されると、専門家は疑念から疑問の声が上がりました。セキュリティ企業フォボス・グループの創業者であるダン・テントラー氏は、コンデナストグループのアーズ・テクニカの取材に対し次のように述べています。「攻撃者だけが、他の誰にもできないような方法でこれらのモデルを操作できるとは、私は断固として信じない。なぜモデルは攻撃者の要求には90%の確率で応えるのに、われわれは忖度（そんたく）、拒否、ハルシネーションに対処しなければならないのか」。

これらAIチャットボットは、確かに驚異的な能力を発揮しますが、複雑なタスクを一貫して信頼性高く実行させることは依然として大きな課題です。日常的にChatGPTやClaudeを使っている読者であれば、意図しない忖度や拒否、事実とは異なる回答に直面した経験があるのではないでしょうか。テントラー氏の指摘は、こうした感覚と重なるものがあります。

興味深いことに、アンスロピック社自身もレポートの中で、Claudeの「重要な制限」を認めています。同社の報告によれば、Claudeは自律作戦中に頻繁に発見を誇張したり、時にはデータを捏造したりするケースがあったといいます。実際には、機能しない認証情報を取得したと主張したり、公開情報を重大な発見だと報告したりする場面も確認されたとのことです。同社は、このAIのハルシネーション（幻覚）は、作戦の有効性に課題をもたらし、すべての主張された結果の慎重な検証が必要だったと述べています。

メルボルン大学のコンピュータセキュリティ専門家トビー・マレー教授は、学術メディア「ザ・カンバセーション」への寄稿で、報告書の技術的な不備を指摘しています。通常、サイバーインシデント調査報告では、他組織の防御者が同じ攻撃の兆候を検出できるよう、IoC（侵害指標）と呼ばれる具体的な証拠を公開します。攻撃に使用された特定のツール、攻撃元のコンピュータのIPアドレス、マルウェアのハッシュ値などがそれにあたります。

例えば、米国のサイバーセキュリティ・インフラストラクチャーセキュリティ庁（CISA）は最近、世界中の政府サイバー機関と協力して、進行中の中国国家支援サイバースパイ活動に関する情報を公開しました。そこには詳細なIoCが含まれているとマレー教授は指摘し、「残念ながら、アンスロピックの報告にはそうした指標が含まれていない。結果として、防御者は自分たちもこのAI駆動ハッキングキャンペーンの被害者かどうかを判断できない」と続けています。

さらに、報告書は具体的な攻撃手法、使用されたツール、エクスプロイトの詳細についても明らかにしていないという指摘もあります。セキュリティ専門家のディー・ジェー・エヌ・エヌ氏もブログで、「どのようなツールが使われたのか？どのような情報が抽出されたのか？誰がリスクにさらされているのか？CERTはネットワーク内のAIエージェントをどう特定するのか？これらの質問には一切答えられていない」と批判しています。

特に辛辣だったのが、メタ社のチーフAIサイエンティストであるヤン・ルカン氏の反応です（ルカン氏はメタ社を退職する意向を明らかにしています）。米国のクリス・マーフィー上院議員がアンスロピック社の報告を受けて、「AI主導の攻撃がわれわれを破壊する前に、規制を優先事項にしなければならない」と投稿すると、ルカン氏は「あなたは規制捕獲を望む人々に利用されている。彼らは疑わしい研究で皆を脅かし、オープンソースモデルを規制でつぶそうとしている」と応酬しました。

ここで言う規制捕獲とは、企業が規制を利用して競合を排除する戦略を指します。ルカン氏の主張は、アンスロピック社のようなクローズドなAI企業が脅威を誇張することで、オープンソースAIモデルに対する厳しい規制を促し、自社の競争優位性を確保しようとしているのではないかというものです。ルカン氏が所属するメタ社はオープンソースの「Llama」でアンスロピック社と対抗しています。

同様の論調は他の専門家からも出ています。独立系研究者ケビン・ボーモント氏は「脅威アクターはここで何も新しいものを発明していない」とコメント（アーズ・テクニカが引用）しています。セキュリティコンサルタントのコスタス・T氏も「アンスロピックは自社のAIが侵入活動にどう利用できるかを強調することに終始し、防御者には単一のIoCも帰属のヒントも与えなかった。90%が自己顕示、10%が価値提供だ」と批判しています。（ザ・スタックが引用）。

サイバーセキュリティ研究者のザ・グラグ氏は皮肉を込めてこう述べています。「もし中国がAI競争でそれほど優れているなら、なぜ彼らの脅威アクターはアンスロピックを使わなければならないのか？」（ザ・スタックが引用）。こうした反応は、今回の報告が警鐘として読まれる一方で、政治と市場を動かす材料としても見られていることを示しています。

攻撃者がAIを使うという脅威は現実

多くの専門家が指摘するのは、今回の攻撃で使用された手法がAIならではの未知の技術ではなく、従来のペネトレーションテストツールと本質的に変わらないという点です。

アーズ・テクニカ社は、AI支援攻撃の進歩を、MetasploitやSEToolkitといった既存のハッキングツールがもたらした進歩と比較しています。これらのツールは数十年前から使用されており、確かに有用ですが、その登場がハッカーの能力や攻撃の深刻度を根本的に変えたわけではありません。

アンスロピック社も、攻撃者が使用したのは「容易に入手可能なオープンソースソフトウェアとフレームワーク」であり、「これらのツールは何年も前から存在し、防御者がすでに検出しやすいもの」だったと説明しています。具体的な技術やエクスプロイトの詳細は明らかにされていませんが、これまでのところ、AIの使用がこれらの攻撃をより強力またはステルス性の高いものにしたという兆候はありません。

実際、デジタルリーダー向けのメディアであるザ・スタックは、OpenAIやVolexityなど他の組織も過去に、脅威アクターによるAI利用を報告していると指摘します。Volexityは2025年10月、中国関連の脅威アクターがLLMを作戦支援に使用していると評価しましたが、その報告には具体的なTTP（戦術、技術、手順）とIoCが含まれていました。OpenAIも同月、攻撃者が同社のモデルを使用して基本的なマルウェアプロトタイプを作成していると報告しましたが、「低から中程度の成熟度」のレベルにとどまっています。

研究者たちは、AIツールが作業効率を改善し、特定のタスクに要する時間を短縮できることは認めています。しかし、人間の介入を最小限に抑えながら複雑な一連のタスクを自動化する能力は、依然として実現困難だと見ています。このように疑問は残りますが、AI支援攻撃が深刻な脅威であることは認めるべきでしょう。

ルイビル大学のAI・サイバーセキュリティ専門家ロマン・ヤンポルスキー氏は、アル・ジャジーラの取材に対し、「現代のモデルはエクスプロイトコードを書いて適応させ、膨大な量の盗まれたデータをふるいにかけ、人間のチームよりも速く安価にツールを調整できる」と指摘します。さらに、「参入のためのスキル障壁を下げ、資金力のあるアクターが活動できる規模を拡大する。われわれは事実上、クラウド上にジュニアサイバー作戦チームを時間貸しで配置しているようなものだ」ともコメントしました。

そして、今後AIが攻撃の頻度と深刻度の両方を増加させるだろうと予測しています。エポック・エーアイ社のディレクター、ハイメ・セビージャ氏も、今回の報告自体に目新しいものは見られないとしつつ、AI支援攻撃は実現可能で、今後ますます一般的になる可能性が高いと述べています。また、同氏はアル・ジャジーラに「これは中規模企業や政府機関に最も大きな打撃を与えるだろう。歴史的に（中規模企業や政府機関は）専用キャンペーンの標的になるほど価値がなく、サイバーセキュリティへの投資も不十分だったが、AIは彼らを利益の出るターゲットにする」と語っています。

ハーバード大学の研究員でコンピュータセキュリティとAIセキュリティを専門とするフレッド・ハイディング氏は、防御側の対応の遅れを指摘しつつ、AIは救世主となり得るとの見解を示しています。同氏はアル・ジャジーラに対し「今日、多くのサイバー作戦は人材不足によって制約されている。AIはわれわれがこのボトルネックを克服し、すべてのシステムを大規模にテストできるようにする」と語りました。

攻撃者がAIを使う時代、透明性がさらに重要に

今回の論争から言えることは、AI支援攻撃の実態を評価する上で、透明性と検証可能性が重要ということでしょう。アンスロピック社は関連アカウントを即座に停止し、サイバー攻撃に特化した分類器の改善、自律的なサイバー攻撃の早期検出システムのプロトタイプ開発、関係当局や影響を受けた組織への通知など、対応を取ったとしています。安全性とセキュリティ制御への攻撃パターンの組み込みも進めているとのことです。

一方で、報告書に具体的な技術的証拠が不足していることで、専門家コミュニティーは主張を検証できず、実際の脅威レベルを評価することが難しくなっているという指摘もあります。セキュリティ企業ビットディフェンダー社のマーティン・ズゲク氏はBBCの取材に対し、「アンスロピック社の報告は大胆で推測的な主張をしているが、検証可能な脅威インテリジェンス証拠を提供していない。この報告は懸念が高まっている領域を強調しているが、われわれにできるだけ多くの情報を提供してもらい、これらの攻撃がどのように発生するかを評価し、AI攻撃の真の危険性を定義できるようにすることが重要だ」と述べています。

また、中国政府は関与を否定しています。在米中国大使館の報道官リウ・ポンユー氏はアル・ジャジーラに対し、「中国はあらゆる形態のサイバー攻撃に一貫して断固として反対している。関係者が十分な証拠に基づいてサイバーインシデントの性質を判断し、根拠のない臆測や非難ではなく、専門的で責任ある態度を採用することを望む」と述べています。

AI支援サイバー攻撃が今後増加していく可能性は高いでしょう。だからこそ問われるのは、その脅威をどう評価し、効果的な防御策を構築するかです。今回の論争は、そのためには検証可能な情報共有が重要であることを示唆していると言えます。

プロフィール