🛡️

AI主導サイバー攻撃の時代:防御側にもAI活用が不可欠な理由

に公開
AI
Security
Security
Cyber Security
LLM
idea

はじめに

2025年9月、サイバーセキュリティの歴史に新たな転換点が刻まれました。

Anthropicが公開したレポートによると、中国の国家支援グループによる「史上初の大規模AI主導サイバースパイキャンペーン」が検出されました。最も衝撃的な点は何か。攻撃の80-90%をAIエージェントが自律的に実行したことです。

本記事では、この報告内容を整理します。そしてLLM悪用における防御の構造的課題を考察した上で、セキュリティエンジニアとして今後取り組むべき「防御側AI活用」について論じます。

第1章:報告内容のサマリ

1-1. 事件の全体像

2025年9月中旬、Anthropicは不審なアクティビティを検出しました。10日間にわたる詳細な調査の結果、中国の国家支援グループによる高度に洗練されたスパイキャンペーンであることが判明しました。

攻撃の規模:

  • 標的:約30のグローバル企業・政府機関(大手テック企業、金融機関、化学製造企業、政府機関)
  • 成果:少数の組織で侵入に成功し、データ窃取を達成
  • 歴史的意義:人間の実質的な介入なしで実行された大規模サイバー攻撃の初の文書化事例

1-2. 技術的な実現要因

この攻撃は、わずか1年前には存在しなかったAIモデルの複数の機能に依存しています。

攻撃を可能にした3つの技術進化があります。これを理解することが重要です。

Intelligence(高度な知能)

LLMの一般的な能力レベルが向上し、複雑な指示に従い、洗練されたタスクを可能にする方法で文脈を理解できるようになりました。特に、ソフトウェアコーディングなどの特定のスキルがサイバー攻撃に適した形で高度に発達しています。

Agency(エージェント機能)

モデルがエージェントとして動作できるようになりました。つまり、自律的なアクションを実行し、タスクを連鎖させ、最小限の人間の入力のみで意思決定を行うループで実行できます。

Tools(ツール統合)

Model Context Protocol(MCP)というオープン標準を介して、幅広いソフトウェアツールにアクセスできるようになりました。Web検索、データ取得、パスワードクラッカー、ネットワークスキャナーなど、以前は人間のオペレーターのみが使用できたツールを利用できます。

1-3. 攻撃の自動化レベル

この攻撃の最も重要な特徴。それは、驚異的な自動化レベルです。

数値で見る自動化の実態:

  • AIによる実行:80-90%(攻撃のほぼすべてをAIが自律実行)
  • 人間の介入:4-6回のみ(攻撃キャンペーンあたりの重要な意思決定ポイント)
  • 攻撃速度:秒単位で複数リクエスト(トータルで数千のリクエスト)

従来の人間主導の攻撃と比較すると、その差は歴然としています。

この速度差が意味すること。従来の「人間の攻撃者を想定した検出システム」では、もはや対応できません。

1-4. AIの安全対策を回避する手法

Claudeは有害な行動を回避するよう広範囲に訓練されています。それでも、攻撃者は巧妙な手法でこの安全対策をすり抜けました。

手法1:タスク分割

攻撃を小さな、無害に見えるタスクに分解し、Claudeに悪意ある目的の全体像を提供せずに実行させました。

具体例:

  • 「このネットワークをスキャンして」→ 単体では無害
  • 「このポートの脆弱性を調べて」→ 単体では無害
  • 「このエクスプロイトコードを書いて」→ 単体では無害

しかし、これらを連鎖させることで大規模な攻撃が完成します。

手法2:偽装と社会工学

攻撃者はClaudeに、自分たちが「正規のサイバーセキュリティ企業の従業員であり、防御テストで使用されている」と伝えました。この偽装により、Claudeは自身が正当な目的のために使用されていると信じ、協力的に動作しました。

1-5. 攻撃の実行プロセス

攻撃は6つの主要なフェーズに分かれています。各フェーズで、上記の3つの技術的進化(Intelligence、Agency、Tools)が活用されました。

フェーズ1:標的選定と攻撃フレームワーク構築

人間のオペレーターが標的組織を選定し、選択した標的を自律的に侵害するシステムである攻撃フレームワークを開発しました。このフレームワークはClaude Codeを自動化ツールとしてサイバー作戦を実行するために使用しました。

フェーズ2:偵察

Claudeが標的組織のシステムとインフラを検査し、最も価値の高いデータベースを特定しました。この偵察作業は、人間のハッカーチームが要する時間のほんの一部で完了しました。

フェーズ3〜5:脆弱性特定、認証情報取得、データ窃取

フレームワークはClaudeを使用して、独自のエクスプロイトコードを研究・作成することで、標的組織のシステムのセキュリティ脆弱性を特定・テストしました。その後、以下を実行:

  • さらなるアクセスを可能にする認証情報(ユーザー名とパスワード)を収集
  • 大量の機密データを窃取して情報価値に応じて分類
  • 最高権限アカウントを特定し、バックドアを作成

これらすべてが最小限の人間の監督で実行されました。

フェーズ6:文書化

最終フェーズでは、攻撃者がClaudeに攻撃の包括的なドキュメントを作成させ、盗んだ認証情報のファイルと分析したシステムのファイルを作成しました。これにより、次の段階のサイバー作戦の計画が容易になりました。

1-6. Anthropicの検出と対応

Anthropicは不審なアクティビティを検出しました。その直後、迅速かつ包括的な対応を実施しています。

対応のタイムライン:

フェーズ1:検出と調査(9月中旬〜10日間)

  • 不審なアクティビティパターンを検出システムが識別
  • 即座に調査チームを編成し、詳細な分析を開始
  • 脅威の範囲(標的組織の数、攻撃手法、使用されたツール)を特定
  • 攻撃の性質を詳細に分析し、中国の国家支援グループによるものと高い確度で判定
  • 脅威インテリジェンスチームがClaudeを活用して膨大なログデータを分析

フェーズ2:即時対応措置

  • 該当アカウントの停止:特定された攻撃者のアカウントを即座にBANし、さらなる攻撃を阻止
  • 影響を受けた組織への通知:侵害された可能性のある約30の組織に適切に通知し、対応を支援
  • 当局との協力:法執行機関に実用的なインテリジェンスを提供し、連携して対応

フェーズ3:検出能力の強化

  • 悪意あるアクティビティをフラグする新しい分類器(classifier)を開発
  • AIエージェント特有の攻撃パターン(超高速リクエスト、特定のツール利用パターン)を識別できるよう検出システムを改善
  • 大規模分散攻撃を調査・検出する新しい手法の研究開発を継続

フェーズ4:透明性の確保と業界支援(2025年11月公開)

  • 攻撃手法の詳細を含む公開レポートを発行
  • 業界、政府、研究コミュニティがサイバー防御を強化できるよう情報を共有
  • 今後も定期的に脅威レポートをリリースし、発見した脅威について透明性を維持することを約束

重要なポイント:
Anthropicが完全ノーガードだったわけではありません。検知・対応の仕組みは存在していました

それでも攻撃者は巧妙な手法(タスク分割、偽装)でこれを迂回しました。これが示すこと。どんなに優れた安全対策でも完璧ではなく、継続的な改善が必要だということです。

第2章:LLM悪用の構造的課題と防御側AI活用の必然性

第1章で見てきたように、史上初のAI主導サイバー攻撃が現実のものとなりました。

では、この事態に対してLLM提供者や防御側はどう向き合うべきなのか。本章では、防御の構造的な限界を明らかにします。そして、それを踏まえた新たな防御戦略の必要性を考察します。

2-1. モデル提供者の責任と努力

まず明確にしておくべきは、LLM提供者には悪用を防ぐ責任があり、実際に努力しているという事実です。

法的・ブランドリスクの現実

各種レポートや政策文書の方向性を見ると、以下のトレンドが見えています。

法的責任の可能性:

  • 米国のNTIA(通信情報庁)やRANDのレポートでは、AI由来の被害について「誰がどこまで責任を負うべきか」が大きな論点
  • 多くのケースで、AI開発者・提供者が過失(due care不足)を問われる可能性を明示
  • 適切なリスク評価・モニタリング・契約条項がなくAIを提供すると、民事上の責任(特に過失責任)を問われ得る

ブランドリスクの深刻さ:

  • 「○○社のAIが国家レベルのスパイに悪用された」というヘッドライン自体がブランドへ致命傷になりうる
  • 特にB2B・ガバメント向けでは「ちゃんと守ってくれるか?」が信用の中核

実際の取り組み

今回のAnthropicの対応からも、提供者が本気で取り組んでいることが分かります:

  • セーフティ機構:Claudeの広範な安全教育
  • ログ・監査性:利用状況の継続的モニタリング
  • 濫用検知とアカウント対策:不審な挙動の検知とアカウントBAN
  • 透明性:攻撃手法の詳細を公開し、業界全体の防御を支援

2-2. しかし防御には構造的な限界がある

提供者の努力にもかかわらず、現実は厳しい。

LLM悪用の防御には乗り越えがたい構造的な限界が存在します。

限界1:安全対策回避のいたちごっこ

今回の攻撃で使われた安全対策の回避手法(タスク分割、偽装)は、かなり「予想されていた類」のものです。

この構図が意味すること。継続的ないたちごっこです。

  • ガードレールを強くする → 攻撃側はより巧妙なプロンプト・ツール連携で回避
  • 検知を強くする → よりステルスに・低速に・分散して実行

ただし、今回Anthropicが実際に検知し、公開レポートとして発表した意義は大きい。攻撃側の"プレイブック"を早期に晒したことになり、防御側エコシステム全体にとってはポジティブな一手です。

限界2:闇市場の悪用特化型AIの実在

さらに深刻な問題があります。

公式LLMのガードレールをいくら強化しても、闇市場には既にガードレールのない悪用特化型AIが存在しているのです。

具体的な報告例:

  • 「WormGPT」「FraudGPT」などのブラックハット向けLLMが、ダークウェブ・Telegramなどでサブスク販売されている
  • フィッシングメール生成、マルウェアコード作成、クレカ詐取スクリプトなどを「ガードレールなし」で提供している
  • サイバー犯罪フォーラムでAIツールが共有され、コード生成や検知回避などの用途に使われている

限界3:ローカルモデルによる悪用の容易さ

もっと深刻なのは、技術的なハードルが下がり続けている点です。攻撃者が自前でAIを構築できる時代になりました。

攻撃者が自前でAIを構築する方法:

  1. オープンソースのAIモデルを入手:LLaMA、Mistralなど無料で公開されているモデルを利用
  2. 手持ちのGPUで調整:ゲーミングPC程度のGPU(1〜2枚)で、攻撃的な用途に特化させるカスタマイズが可能
  3. 匿名ネットワークで公開:Torや匿名VPSを使って、身元を隠しながらAPIとして提供

重要な点があります。これらのステップ自体もAIが支援してくれるのです。

ChatGPTやClaudeに「fine-tuneの方法を教えて」「このエラーを修正して」と聞けば、詳細な手順やコードを提供してくれます。AIが攻撃用AIの構築を手助けするという悪循環です。プログラミング経験のある中級者なら、数日〜数週間で実現可能になっています。

結果として、攻撃者にとっては複数の選択肢があります:

  1. 公式LLMの安全対策を回避して使う
  2. 闇市場の悪用特化型AIを購入して使う
  3. 自分でローカルモデルをfine-tuneして使う
  4. 国家レベルなら自前の大規模モデルを構築

という複数の選択肢があり、公式LLMの安全対策だけでは防げないのが現実です。

2-3. だから「攻撃される前提」での防御設計が必要

ここまでの考察から、結論は明確です。公式LLMの安全対策だけでは、攻撃を防げません。

防御側もAI活用が不可欠な理由

従来のサイバーセキュリティには前提がありました。「攻撃を未然に防ぐ(入口対策中心)」「攻撃者は人間」という2つです。

しかし、AIエージェント攻撃の時代では、この前提が崩れます。攻撃されることを前提とし、攻撃者もAIであることを前提とした防御設計が必要です。

Anthropic自身も明言しています。「攻撃側と同じくらい、防御側にもLLMが必要」と。その理由は3つあります:

  1. 速度の問題:秒単位で数千のリクエストを発行する攻撃に、人間では対応不可能
  2. 規模の問題:約30組織を同時に攻撃する規模に、従来の防御体制では対応困難
  3. 継続的な競争:攻撃側がAIを使う以上、防御側が使わなければ対抗できない

実際、Anthropicの脅威インテリジェンスチームも、この調査で生成された膨大なデータの分析にClaudeを広範に活用しました。

第3章:セキュリティエンジニアに求められる防御側AI活用

第2章で見てきたように、攻撃側のLLM悪用を完全に防ぐことは構造的に困難です。

だからこそ、防御側がAIを積極的に活用する必要があります。AI主導の攻撃に対抗できる体制を構築することが不可欠です。

本章では、具体的な実践方法を整理します。セキュリティエンジニアとしてどのような領域でAIを活用すべきか、そして実践に向けてどう取り組むべきかを示します。

防御側AI活用の具体的な領域

Anthropicのレポートおよび各種セキュリティ研究から、以下の5つの領域が特に有望です。

1. SOC自動化:24時間365日の監視を効率化

現状の課題:

  • セキュリティアナリストの慢性的な不足
  • 膨大なログとアラートの中から重要なものを見つける困難さ
  • 夜間・休日の対応体制の維持コスト

AI活用のアプローチ:

  • ログの自然言語要約:数千行のログを「今何が起きているか」の簡潔な文章に変換
  • アラートのトリアージと優先度付け:SIEMアラートをLLMに分析させ、緊急度を自動判定
  • インシデントレスポンス手順書の提案:検出した事象に対して「次に何をすべきか」を自動生成

Anthropicレポートからの示唆:

"The same capabilities that make Claude useful to attackers are also critical for cybersecurity defense. Our threat intelligence team used Claude extensively in this investigation."

実際にAnthropicの脅威インテリジェンスチームは、この調査でClaudeを広範に活用しました。これは、AIが膨大なデータの分析と要約に非常に有効であることを示しています。

2. 脅威検出:AIエージェント攻撃特有のパターンを識別

現状の課題:

  • 従来の検出システムは「人間の行動パターン」を前提としている
  • AIエージェントによる「秒単位で数千のリクエスト」を発行する攻撃は異質
  • 分散・低速・ステルスな攻撃の検出が困難

AI活用のアプローチ:

  • 異常パターンの識別:LLMを活用して、通常とは異なるAPI呼び出しパターンを検出
  • 高速攻撃の検出:人間では不可能な速度での連続的なアクション(今回の攻撃の特徴)を識別
  • MCP利用パターンの監視:特定のツール(パスワードクラッカー、ネットワークスキャナー等)の連続利用を検出

実践的な検討事項:

従来の「正常な人間の操作速度」という前提を見直し、AIエージェントの特徴的なパターン(超高速リクエスト、タスクの完全自動化、特定のツール利用パターン)を識別できるよう、検出システムを進化させる必要があります。

3. 脆弱性評価:発見から修正までを高速化

AI活用のアプローチ:

  • コードレビューの自動化:プルリクエストに対してLLMが潜在的な脆弱性を指摘
  • 脆弱性スキャン結果の分析:検出された大量の脆弱性をビジネス影響度に基づいて優先度付け
  • 脆弱性の影響説明と修正支援:「なぜ危険か」「ビジネスへの影響は」「どう修正するか」を開発者に分かりやすく自然言語で説明

今回の攻撃では、Claudeが「独自のエクスプロイトコードを研究・作成」しました。同じ能力は、防御側が脆弱性を事前に発見・修正するためにも活用できます。

4. インシデント対応:攻撃発生時の対応を迅速化

AI活用のアプローチ:

  • 対応手順の自動生成:検出したインシデントに対して、プレイブックを自動作成
  • 根本原因分析(RCA)の支援:膨大なログから攻撃の起点と経路を特定
  • 影響範囲の特定:侵害されたアカウント・システムの洗い出し

今回の攻撃フェーズ6では、攻撃者がClaudeに「攻撃の包括的なドキュメントを作成」させました。同じ能力を、防御側がインシデント後の報告書作成や再発防止策の立案に活用できます。

5. 防御的レッドチーミング:AIエージェントに攻撃役をさせる

最も革新的なアプローチ:

  • 組織のシステムを対象に、LLMエージェントに「攻撃役」をやらせる
  • 実際の攻撃者と同じ手法で防御力を評価
  • システム側と人側(運用)の両方の弱点を発見

これは、攻撃者と同じ能力を、防御側が先に使うことで、実際の攻撃を受ける前に弱点を発見・修正するアプローチです。

MCPを防御に活用する(将来的な可能性)

Model Context Protocol(MCP)は攻撃にも防御にも使える諸刃の剣です。今回の攻撃でMCPが悪用されたことから、防御側でも活用を検討すべきですが、現時点では実用事例は少なく、研究・実験段階です。

防御側での活用の可能性(今後期待される領域):

  • セキュリティツールの統合:既存のセキュリティツール(SIEM、EDR、脆弱性スキャナー等)をLLMと連携させる構想
  • 脅威ハンティングの自動化:能動的な脅威の探索を自動化する研究
  • ログ分析の高速化:膨大なログデータの効率的な分析への応用
  • インシデント対応の自動化:攻撃検出時の即座の対応を実現する試み

ただし、適切な管理が不可欠:

攻撃者がMCPを悪用した際の検出シグネチャを事前に定義することも、効果的な防御策となります。

実践に向けて:今日から始められること

高度なセキュリティAI活用を目指す前に、まず日常業務で生成AIを使いましょう。その特性と限界を理解することが最も重要です。

例えば、以下から始められます:

  • ドキュメント作成の効率化:インシデント報告書の下書き、手順書の整理
  • 情報収集の高速化:「○○について初心者向けに説明して」と聞いて理解を深める
  • 簡単なスクリプト作成:定型作業の自動化コードを生成AIに書かせる

これらを通じて、生成AIの「得意なこと」「苦手なこと」「幻覚(hallucination)」を体感できます。そうすれば、セキュリティ業務への応用(ログ分析の補助、アラートトリアージ、脆弱性レポートの解釈など)にも自然と繋がります。

まとめ:攻撃も守りもAIの時代へ

今回のAI主導サイバー攻撃は、重大な転換点です。サイバーセキュリティの前提が変わりました。

明確になったこと:

  1. LLM提供者には責任があり、実際に努力している。しかし、構造的な限界がある
  2. 闇市場の悪用特化型AI、ローカルモデルの悪用により、攻撃側のLLM利用は止められない
  3. だからこそ、防御側もAIを活用しなければ対抗できない

セキュリティエンジニアとして取り組むべきこと:

  • 「攻撃される前提」での防御設計への転換
  • SOC自動化、脅威検出、脆弱性評価、インシデント対応へのAI活用
  • 防御的レッドチーミングによる継続的な防御力評価
  • MCPの適切な管理と防御への活用

攻撃側も防御側もAIを活用する時代です。**「攻撃はAI、守りもAI」**がこれからの前提条件になります。

セキュリティエンジニアとして、まずは日常業務に生成AIを取り込みましょう。その特性と可能性を理解することから始めよう。

参考文献

Discussion