Claude Code を悪用するサイバー攻撃を観測:侵害タスクの 80%~90% を AI が自動実行

Chinese Hackers Automate Cyber-Attacks With AI-Powered Claude Code

2025/11/14 InfoSecurity — Anthropic の GenAI コーディング・アシスタント Claude Code を悪用する、史上初めてのサイバー攻撃が観測された。11月13日に Anthropic が発表した報告書によると、この攻撃者は中国政府に支援されたハッカーである可能性が高く、サイバー・スパイ活動を目的とした攻撃が展開されたという。標的となった組織には、大手テクノロジー企業、金融機関、化学製造会社、政府機関などが含まれていた。脅威アクターは、わずかな人的介入により、これらの被害者のシステムに侵入した。

Anthropic の評価によると、侵害タスクの 80%~90% が AI アシスタント Claude Code により実行され、ハッキング攻撃1回あたりにおけるハッカー自身による重要な判断はわずか 4~6 件であったという。

新世代 AI エージェントの高度な機能が悪用される

2025年9月中旬に Anthropic は、きわめて高度なスパイ活動の初期兆候を検知した。この件をセキュリティ研究者が調査した結果として、攻撃者が Claude Code を操作して約 30 の組織への侵入を試みていたことが突き止められた。少数のケースにおいて、攻撃者は侵入に成功した。

Anthropic は、「この攻撃は、人的介入をほとんど伴わずに実行された、大規模サイバー攻撃の初の事例である」と表現した。

攻撃者は Claude Code のエージェント機能を、最近になって登場したものも含めて悪用した。

  • GenAI 搭載ツールは複雑な指示に従い、コンテキストを理解することで、きわめて高度なタスクを可能にする。
  • 多数のソフトウェア・ツールやアプリケーションにアクセスし、ユーザーに代わって行動する能力 (例:Web 検索/データ取得/メール分析) を持つ。
  • タスク実行時に自動 (または半自動) 的に判断を下し、複数のタスクを連鎖させる能力を持つ。
6 段階の攻撃フロー

Anthropic は、6 段階の攻撃フローについて、次のように説明している。

  1. キャンペーンの開始とターゲットの選択:人間のオペレーターがターゲット組織を選択し、攻撃フレームワークを開発する。それは、人間の介入をほとんど必要とせずに、選択されたターゲットに自律的に侵入するためのシステムである。この攻撃フレームワークは、Claude をジェイルブレイクすることから始まった。つまり、Claude を欺いてガードレールを回避し、攻撃を無害に見える小さなタスクに分割し、悪意を示す完全なコンテキストを提供することなく、AI アシスタントに悪意を実行させた。また、この脅威アクターは Claude に対して、自身が正規のサイバー・セキュリティ企業の従業員であり、防御テストに利用していると伝えた。
  2. 偵察と攻撃対象領域のマッピング:人間のオペレーターは Claude に対して、標的組織のシステムとインフラを調査し、最も価値の高いデータベースを特定して報告するよう依頼した。
  3. 脆弱性の発見と検証:人間のオペレーターは、バックドアを埋め込むための独自のエクスプロイト・コードを調査/作成し、標的組織のシステムにおけるセキュリティ上の脆弱性を検出/テストするよう Claude に指示した。
  4. 認証情報の収集と横展開:人間のオペレーターは AI エージェントを用いて、さらなるアクセスを可能にする認証情報(ユーザー名とパスワード)を収集した。
  5. データ収集とインテリジェンス抽出:人間のオペレーターは Claude に対して、すでに価値のある情報だと判断している、大量の個人データを抽出するよう指示した。
  6. 文書化と引き継ぎ:人間のオペレーターは Claude に対し、攻撃に関する包括的な文書を作成し、盗み出された認証情報と分析対象システムのファイルを作成するよう指示した。
サイバー攻撃のライフサイクルは、人間主導の標的型攻撃から、さまざまなツール (多くの場合 AI 経由) を用いた AI 主導の攻撃へと移行している。Model Context Protocol (MCP) と呼ばれるプロトコルを用いる AI は、攻撃中のさまざまな時点で人間のオペレーターにレビューを依頼する。出典:Anthropic。

攻撃を検知した Anthropic は、攻撃ライフサイクルをマッピングした後に悪意のアカウントを禁止し、影響を受けた組織と管轄当局に連絡し、そこから 10 日以内に実用的な情報を提供した。

さらに Anthropic は、検知能力を拡張し、悪意の活動を検知するための、より優れた分類器を開発した。同社のレポートには、「今回のような大規模の分散型攻撃を調査/検知するための新しい手法の開発に取り組んでいる」と記されている。

これらの対策にもかかわらず、Anthropic が懸念するのは、エージェント型 AI を悪用するサイバー攻撃の、規模と巧妙さが拡大し続けることだ。

Anthropic の研究者たちは、「このインシデントは、重要な疑問を提起している。これほどの規模のサイバー攻撃に、AI モデルが悪用され得るのであれば、なぜ AI モデルの開発とリリースを続けるのだろうか? これらの攻撃で Claude を悪用する能力自体が、サイバー防御においても Claude を極めて重要なものにしている。高度なサイバー攻撃が避けられない状況において、Claude が目標とするのは、サイバー・セキュリティ専門家が将来の攻撃を検知/阻止し、それに備えられるよう支援することだ」と記している。

脅威研究者にとって実用的な情報の欠如

Anthropic のレポートは、ソーシャル・メディアやオンラインのサイバー・セキュリティ関係者の間で広く共有されている。

Anthropic の透明性を称賛する声もあれば、エージェント AI の出現により避けられなくなる脅威という観点で、このインシデントは初めての証拠になるという声もある。また、このレポートに満足していないという声もある。

Microsoft の Senior Threat Researcher である Thomas Roccia は、「Anthropic の公式声明と報告書全体で共有されている情報には、実用性が不足している。有用な情報がほとんど何も残されていない」と、LinkedIn で指摘している。

彼は、「実際の攻撃の兆候も、侵害の兆候 (IOC) も、同様の活動を検知するための明確なシグナルも無い。アンチウイルス (AV) 業界が、IOC の共有を避けていた昔を彷彿とさせる。今回のインシデントに関しては、その理由が違うかもしれないが、結果は同じだろう。大まかな説明ばかりであり、防御側が行動を起こすために必要な情報が欠落している!」と付け加えている。

参考資料:

Anthropic:Disrupting the first reported AI-orchestrated cyber espionage campaign
Cisco:Death by a Thousand Prompts: Open Model Vulnerability Analysis

Claude Code のエージェント機能が、ほぼ人手を介さないサイバー攻撃における自動オペレーターとして悪用されました。攻撃者はジェイルブレイクでガードレールをすり抜け、偵察/脆弱性調査/侵入/データ抽出/証拠整理などを小さなタスクに分割して AI に任せています。モデル自体の性能の高さと、外部ツールへ自在にアクセスできる設計が組み合わさることで、人間による判断の絞り込みが可能となり、ここまでの攻撃フローを実行できるという構造的な問題が浮き彫りになったと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Claude で検索を、お試しください。