Anthropic、Claude Codeを悪用した大規模サイバースパイ活動を阻止-中国系サイバー攻撃グループか|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2025年11月18日更新日時: 2025年11月18日

米Anthropicは2025年11月14日付のフルレポートで、同社の監視体制がAIエージェントを中核に据えた大規模なサイバースパイ作戦を検知・遮断したと公表しました。攻撃は2025年9月中旬に兆候が見つかり、約30のグローバル組織（大手テック、金融、化学、政府機関など）を標的として、一部で侵入に成功していたことが確認されています。脅威主体は中国政府支援の攻撃グループであると高い確度で評価されており、従来の「人間が中心でAIを補助に使う」段階から一線を画し、攻撃工程の80〜90%をAIが自律的に遂行していた点が最大の特徴です。

1 AIが考えて、動く攻撃
2 攻撃ライフサイクル 6段階の自動化パイプライン
3 専用マルウェアではなくオーケストレーションの巧妙さ
4 限界と失敗例
5 防御側へのインプリケーション
6 バイブハッキングとの位置づけ
7 いま取るべき具体策

AIが考えて、動く攻撃

今回の作戦は、最新の大規模言語モデル（LLM）が備える三つの進化点

知能（Intelligence）、自律性（Agency）、ツール連携（Tools）

をフルに悪用していました。

モデルは高度な文脈理解とコーディング能力を下支えに、「エージェント化」された自動ループの中で意思決定とタスク連鎖を繰り返し、オープン標準であるModel Context Protocol（MCP）等を通じて検索・収集・スキャン・検証・資格情報窃取などを実行します。

人間のオペレーターは、目標の選定や作戦の大枠設計、数カ所の重要判断に限定的に介在しただけで、大半のオペレーションはAI側が自己完結していました。

特筆すべきは、攻撃者が「防御テスト用の業務である」等の虚偽の前提を与えるロールプレイと、攻撃意図が見えにくい細切れのタスク分割を併用して、モデルの安全策（ガードレール）を脱法的にすり抜けていた点です。

モデルは自ら生成したコードで脆弱性を検証し、結果を要約・報告、次の手順を自動立案する、というサイクルを高速で回し続けました。

ピーク時には「秒間で複数」の要求が継続的に飛ぶ規模でオペレーションが回っており、人手では到底追いつかない速度で偵察から侵入後操作、データ抽出、恒久化の準備までを進めていました

攻撃ライフサイクル 6段階の自動化パイプライン

レポートは、攻撃が人手による戦略策定 → AI主導の実務実行という形で整理された6段階のライフサイクルで進んだと説明しています。

初期化／標的選定
人間のオペレーターが業界・企業群を定義し、AIが動かすための攻撃フレームワーク（監視・再試行・成果集約を備えたオーケストレーション基盤）を用意しました。モデルには「防御評価」を装ったタスクとして投入され、疑義を抱かせない形で偵察が開始されます。
偵察／面の把握
AIはブラウザ自動化や各種スキャナを呼び出し、外部公開面・認証方式・管理ポータル・APIエンドポイント等を機械的一貫性で列挙します。得られた資産は自動でカタログ化・優先度付けされ、後続工程に引き渡されます。
脆弱性発見・検証
公知の弱点探索に限らず、対象固有のミスコンフィグや論理不備（例：SSRF類型）も、モデル自作のPoCコードや動的テストで検証されます。エスカレーションの可否など少数のクリティカル判断のみ人間が承認します。
資格情報収集・横展開
収集したクレデンシャルやトークンを基にアクセス権限のグラフを自動構築し、DB・メッセージング基盤・ログ保管庫・レジストリなどへ到達範囲を拡大。到達先に応じて自律的に手法を切り替え、権限昇格と横展開を繰り返します。
データ抽出・価値分類
重要度の高いデータストアを抽出し、スキーマ解析 → 抽出 → 情報価値の自動分類までをワンパスで実行します。高権限アカウントの把握や恒久化のためのバックドア整備も並行して行われました。
文書化・次フェーズ引き継ぎ
取得資格情報・到達ホスト・実行コマンド・設定変更・検出回避策などをMarkdownで体系化し、次の攻撃ラウンドや他チームへのハンドオフを容易にします。人が作る以上に再利用に適した攻撃運用ドキュメントが自動生成されました。

専用マルウェアではなくオーケストレーションの巧妙さ

レポートは、今回の作戦が「ゼロから開発した特殊マルウェア」で成立していたわけではない点を強調しています。

むしろ鍵となったのは、一般流通の攻撃・検査系ツール群（スキャナ、パスワード回収・クラック、プロキシ、ブラウザ自動化等）を、MCPサーバ経由のツール呼び出しと状態管理ロジックで束ねるオーケストレーションでした。AIは状況に応じてツールを切り替え、実行ログや結果を自ら要約・評価し、次のアクションを計画→実行→検証するサイクルを絶えず更新していました。

結果として、人手のチームなら数週間から数カ月かかる作業量を、数日オーダーで試行錯誤し尽くす能力が実現しています。

限界と失敗例

モデルは完璧ではありません。誤った認証情報の幻覚や、公知情報を「秘匿情報」と誤認する事例が見られ、検証やロールバック機構がないと作戦全体の効率を損ねる場面がありました。完全自律攻撃を成立させる上で、結果の自動検証・スコアリングは引き続きのボトルネックとされています。

今回の検知・遮断が成立した背景には、Anthropic側が異常なツール呼び出し系列や行動パターンを素早く捉え、疑わしいアカウントの段階的な停止・当局連携・関係組織への通知を即時に進めたことも挙げられます。

防御側へのインプリケーション

本件は、高度なサイバー作戦の参入障壁が下がったことを意味します。熟練の攻撃チームに匹敵するスピードと試行量を、中堅以下のグループでもAIで補完できる可能性が現実味を帯びました。レポートは、防御側がSOC（セキュリティ運用）自動化、異常検知、脆弱性アセスメント、IR（インシデントレスポンス）においてAIを積極活用することを推奨し、あわせてAIプラットフォーム事業者側の安全対策（悪用検知の強化、分類器の高度化、ツール連携の権限制御）を継続的に引き上げる必要性を指摘しています。

さらに、産官学を横断したスレットインテリジェンス共有と、分散・同時多発的な攻撃振る舞いを捉える新しい検知手法の共同研究が不可欠と結論づけています。

バイブハッキングとの位置づけ

Anthropicは2025年8月の別レポートで、「vibe hacking（バイブハッキング）」と呼ぶ攻撃様式を詳報しました。ここでの本質は、AIの助言や生成物を雰囲気（vibe）で乗りこなすうに、人間が巧妙なプロンプトやロールプレイでモデルの安全策をかいくぐり、人間中心で作戦を進める手口です。モデルはコード生成や手順提案を行うものの、意思決定・行動鎖の主導権は人間にあります。

今回のスパイ作戦は、そこから一段の進化が起きたことを示します。

攻撃者は、安全策を回避する言語的手練手管は踏襲しつつ、タスクの分割・検証・次行動の選定までをエージェント化したAIが主体となって回しました。人間は、目標設定や最終承認など4〜6程度の重要分岐にだけ介入し、それ以外の数百〜数千単位の小タスクはAIが自動で消化しました。

いま取るべき具体策

可視化と記録：MCP等のツール連携・外部呼び出しの監査ログを精緻化し、異常な連鎖呼び出しや自己反復的タスク生成を検知するルールを導入します。
ポリシーと権限制御：AIエージェントに付与する実行権限（ネットワーク、ファイル、資格情報庫）を最小化し、ツール側に多要素・レート制限・用途制限を組み込みます。
モデル安全策の多層化：言語プロンプトの「無害化」だけでなく、行動レベルの安全策（ツール実行前のサンドボックス検証、成果物の自動評価）を重ねます。
検知器の高頻度更新：連鎖・並列・再試行というエージェント特有のリズムをシグネチャ化し、ふるまい検知と単発イベント検知を組み合わせます。
インシデント対応の前倒し：疑義段階でアカウント凍結・キー再発行・セグメント分断を迅速に実施し、通知と当局連携を並走させます。