中国系とみられるハッカーがClaude CodeとDeepSeekを併用し3カ国の政府機関へ不正アクセス

セキュリティニュース

投稿日時: 更新日時:

中国系とみられるハッカーがClaude CodeとDeepSeekを併用し3カ国の政府機関へ不正アクセス

脅威インテリジェンス企業Hunt.ioは2026年7月14日、中国系とみられる脅威アクターが、AnthropicのAIコーディングエージェント「Claude Code」と中国製AIモデル「DeepSeek-v4-pro」を実際の侵入作戦の一部として組み込み、アフガニスタン・タイ・台湾の政府機関へ侵入していたとする調査結果を公表しました。攻撃者が管理するサーバー上で発見された、アクセス制限のかかっていない公開ディレクトリから、標的のソースコード・攻撃ツール・フィッシングテンプレート・作戦ログ・簡体字中国語のメモなどが確認されています。当サイトで既報の通り、Anthropic自身も2025年11月、中国系とみられるグループがClaude Codeを悪用した大規模なサイバースパイ活動を検知・阻止したと公表しており、今回はそれに続く2件目の報告例と位置づけられています。

サマリー

  • Hunt.ioは2026年6月、既知のマルウエア「TencShell」(オープンソースのRshellフレームワークから派生したGoベースのインプラント、中国系との関連が指摘されている)のC2(指令制御)インフラを起点にした調査で、実際に稼働中の侵入作戦を暴露する公開ディレクトリを発見した
  • サーバー112.213.124[.]132上の公開ディレクトリには、被害組織のソースコード、カスタム悪用ツール、作戦ログ、複製されたログインページ等、2,431件のファイルと80件のサブディレクトリが含まれ、攻撃メモは簡体字中国語で記述されていた
  • インフラの追跡調査により、同一のC2インフラを共有する香港拠点のサーバー13台が、4つの異なるASN(VMISS Inc.、MEGA-II IDC、CTG Server Limited、Antbox Networks Limited)にまたがって確認された。うち3台はSSHホストキーとTLS証明書を共有しており、冗長構成として運用されているとみられる
  • アフガニスタン・タイ・台湾の政府機関システムへの実際の侵害が確認されたほか、米国政府ポータルに対する偵察活動とフィッシングの準備段階の活動も観測された。あわせて、独自開発のPythonスコアリングツールを用いて10カ国にまたがる5,890件超の政府系ホストがスキャンされていたことも判明している
  • 台湾を巡っては、サプライチェーン・製造業分野の8組織が偵察対象となり、うち重要産業に属する2組織で実際の侵害が成功していたことが確認された。侵害の痕跡は2026年6月11日という直近の日付まで確認されている
  • 回収された作戦ログの分析から、攻撃者は「分割モデル型」のLLMアーキテクチャを採用していたことが判明した。Claude Codeが実行エンジンとしてエージェント的なツール使用・bashコマンドの実行・セッションの永続化・タスクの並列処理を担い、DeepSeek-v4-proが推論モデルとして攻撃ロジック・スクリプト生成・意思決定を担うという役割分担が、回収されたログファイルを通じて確認されている
  • Hunt.ioは、攻撃的な推論処理が中国国産のLLM(DeepSeek)を経由する一方で、実行基盤としてAnthropicのエージェント型実行インフラ(Claude Code)が活用されていたと分析している。使用されていたClaude Codeのバージョンは2.1.165で、複数の永続セッションにまたがって作戦が遂行され、台湾関連の作戦は専用の作業ディレクトリに保存されていた。タイムスタンプは2026年6月8日から12日にかけてのものが確認されている
  • Hunt.ioは、簡体字中国語によるコード・文書、香港インフラの集中、複数大陸にまたがる標的選定といった観測事項が中国を拠点とする脅威アクターの活動と整合するとしつつ、特定の攻撃者グループ名の断定には至っていない。関係組織および各国のCERT(コンピュータ緊急対応チーム)には2026年7月6日に通知済みで、7日間の開示猶予期間を経て今回の公表に至ったとしている
項目 内容
公表日 2026年7月14日(Hunt.io)
発見の経緯 2026年6月、TencShell(中国系関連が指摘されるマルウエア)のC2インフラからの追跡調査
公開ディレクトリのファイル数 2,431件(80サブディレクトリ)
確認された侵害国 アフガニスタン、タイ、台湾(政府機関)
偵察・準備段階の対象 米国政府ポータル
スキャン対象規模 10カ国、5,890件超の政府系ホスト
台湾での成功した侵害 重要産業2組織(直近2026年6月11日まで活動確認)
使用されたAIツール Claude Code(実行エンジン、v2.1.165)、DeepSeek-v4-pro(推論モデル)
関連インフラ 香港拠点サーバー13台、4つのASNにまたがる
開示までの経緯 2026年7月6日に関係組織・CERTへ通知、7日間の開示猶予後に公表

何が起きたか-公開ディレクトリの発見

Hunt.ioの調査によれば、2026年6月、既知のマルウエア「TencShell」のC2インフラを起点にした追跡調査から、実際に稼働中の侵入作戦を暴露する、アクセス制限のかかっていない公開ディレクトリが発見されました。TencShellは、オープンソースのRshellフレームワークから派生したGo言語ベースのインプラントで、2026年5月にセキュリティ企業Cato CTRLによって初めて文書化され、中国系との関連が指摘されていたマルウエアです。今回発見されたディレクトリには、被害組織のソースコード、カスタム悪用スクリプト、作戦ログ、複製されたログインページが含まれており、攻撃メモは簡体字中国語で記述されていました。

Hunt.ioは、C2ノードのポート1111で観測されたHTTPヘッダーのハッシュ値を手がかりに、同一の指紋を持つ追加のサーバーを検索し、13件の一意のIPアドレスを特定しました。このうち11台は従来報告されていなかったもので、いずれも香港に所在し、VMISS Inc.、MEGA-II IDC、CTG Server Limited、Antbox Networks Limitedという4つの異なるASN(自律システム番号)にまたがっていました。特にサーバー112.213.124[.]132(MEGA-II IDC)は、ポート8888で公開ディレクトリを、あわせてAsset Reconnaissance Lighthouse(ARL、資産偵察ツール)とVshell(C2ソフトウエア)を高リスクな状態で公開していました。ARL・Vshell・DeepAudit(コード脆弱性スキャンツール)はいずれも正規のオープンソースツールであり、これらの存在自体は悪意ある活動を確定させるものではありませんが、被害組織のソースコードや悪用スクリプト、作戦ログを含む公開ディレクトリが同居していたことが、これらのツールを実際の侵入活動に結びつける根拠となりました。

このほか2台のサーバー(192.229.115[.]229、192.229.115[.]230)は、名称が確認されていない別のC2フレームワーク「Gshell」を示すTLS証明書も提供しており、TencShellのクラスターと重複していたことから、複数のC2フレームワークが並行運用されていた可能性がある(中程度の確信度)と分析されています。

標的の範囲-3カ国の政府機関への実害と広範な偵察

Hunt.ioの分析によれば、アフガニスタン・タイ・台湾の政府機関システムへの実際の侵害が確認されたほか、米国政府ポータルに対する偵察活動とフィッシングページの準備段階の活動も観測されました。あわせて、独自に開発されたPythonベースの自動スコアリングツールを用いて、10カ国にまたがる5,890件超の政府系ホストがスキャンされていたことも判明しています。台湾については、サプライチェーン・製造業分野の8組織が偵察の対象となっており、コンテナ海運事業者3社(DNSやサブドメインの列挙、パスワードのブルートフォース等)、半導体・UAV(無人航空機)製造業者、ロボティクス・商用ドローンメーカーなどが含まれていました。これらのうち、重要産業に属する2組織については実際の侵害が成功しており、侵害の痕跡は2026年6月11日という直近の日付まで確認されています。なお、偵察のみが確認され侵害には至っていない組織については、Hunt.ioは組織名ではなく業種で説明するにとどめています。

LLM統合の手口-分割モデル型アーキテクチャ

今回の調査で特に注目されるのは、回収された作戦ログから明らかになった、攻撃者のAI活用の具体的な仕組みです。Hunt.ioは、ディレクトリの内容が「分割モデル型」のLLMアーキテクチャによって侵入作戦が統率されていたことを裏付けていると分析しています。Claude Codeは実行エンジンとして機能し、エージェント的なツール使用、bashコマンドの実行、セッションの永続化、タスクの並列処理を管理していました。一方でDeepSeek-v4-proは基盤となる推論モデルとして、攻撃ロジック・スクリプト生成・意思決定を担っていたとされています。Hunt.ioはこの構造について、「攻撃的な推論処理は中国国産のLLMを経由する一方で、Anthropicのエージェント型実行インフラが活用されている」と要約しています。

使用されていたClaude Codeのバージョンは2.1.165で、複数の永続セッションにまたがって作戦が遂行されていたことがセッションIDから確認されており、台湾関連の作戦は専用の作業ディレクトリに保存されていました。タイムスタンプは2026年6月8日から12日にかけてのものが確認されています。Hunt.ioは、この事案が2025年11月にAnthropic自身が公表した、中国系とみられるグループがClaude Codeを使い大規模な侵入を自動化していたとする開示と並ぶものだと位置づけています。

脅威アクターの評価

Hunt.ioは今回のキャンペーンについて、特定のフレームワークバージョンを狙ったカスタム悪用コードの開発、複数プラットフォーム対応のマルウエアの亜種、そしてリアルタイムの攻撃支援にAIを統合するという、中級から上級の能力を示す活動だと評価しています。簡体字中国語によるコード・文書、香港インフラの集中、そして複数大陸にまたがる標的選定は、中国を拠点とする脅威アクターの活動と整合する観測事項だとしていますが、Hunt.ioは特定の攻撃者グループ名の断定には至っていません。Hunt.ioは、アフガニスタン・タイ・台湾の政府システムを意図的に標的にした点、無差別型ではなく手動での丁寧な悪用が行われていた点、そして欧州・オーストラリア・アジアの金融サービスに対する並行した調査活動が確認された点を踏まえ、これらが総合的に中国を拠点とする活動と符合すると結論づけています。

情報システム部門への示唆

今回の事案は、AIコーディングエージェントが実際の国家に関連するとみられる侵入作戦の実行基盤として組み込まれた、比較的まれではあるものの2件目の公開報告例です。当サイトで以前紹介したAnthropicによる2025年11月の開示では、攻撃工程の80〜90%をAIが自律的に遂行していた点が特徴でしたが、今回の事案では複数のAIモデルを役割分担させる「分割モデル型」の構成が確認されており、攻撃側のAI活用がより体系化・分業化する傾向にあることがうかがえます。また、当サイトで以前紹介したSysdigが報告した完全自律型ランサムウエア「JADEPUFFER」ともあわせ、AIエージェントが攻撃側の実行基盤として実用段階に入りつつある事例が積み重なっている状況です。

自組織が政府機関、あるいは政府機関と取引のある重要インフラ・サプライチェーン関連企業である場合、こうした攻撃者はASN横断で分散されたインフラ、正規のオープンソースツール(ARL・Vshell等)、そしてAIエージェントを組み合わせて偵察から侵害までを高速に遂行しうることを踏まえ、外部公開資産の棚卸しと脆弱性管理のサイクルを短縮することが重要です。あわせて、通常の攻撃者よりも高速かつ大規模な偵察・スキャン活動(今回は5,890件超のホストが対象)が行われうる前提で、外部からの異常なスキャン・列挙活動を検知する体制の強化もお勧めします。攻撃者側のAI活用が進む一方で、Anthropic自身も異常なツール呼び出し系列や行動パターンを検知しアカウントを停止する体制を整えているとされており、防御側においても同様に、自組織のログ・通信パターンの異常検知にAIを活用する取り組みが、今後ますます重要になるとみられます。

出典