はじめに
本記事では、Anthropicが2025年11月に公表したレポート「Disrupting the first reported AI-orchestrated cyber espionage campaign」をもとに、①何が起きたのか(要点)②攻撃がどう“自動化”されたのか(構造)③日本企業の運用に落とすときの注意点を、短時間でつかめる形に整理しました。
Anthropicが自社サイトで公開した本レポートは、「研究紹介」というより、同社のThreat Intelligence(脅威インテリジェンス)が生成AIを悪用した実例を検知・調査した“事例報告”に近い内容です。
本レポートの内容については、AIエージェントを用いた具体的な攻撃事例です。
企業のセキュリティ担当やインシデント対応部門だけに限らず、政府や研究コミュニティを含む「防御側全体」が理解すべきものと言えます。
レポートの内容
Anthropicが強調する衝撃は、AIが「相談役」ではなく「実行役」として攻撃工程を回した点です。
2025年9月中旬に高度なサイバー諜報活動を検知し、攻撃者は国家支援の中国系グループだと高い確信度で評価しています。
標的は約30組織で、一部は侵害成功も確認されたとされています。さらに、戦術作業の80〜90%をAIが担当し、人は重要な判断ポイントに寄った、という説明が出てきます。
攻撃の構造はフェーズで示されます。
人が標的を決め、AIが偵察し、脆弱性探索や認証情報収集、データ収集、文書化へ進む流れです。AIはMCPなどを通じ外部ツールを使い、作業を分割して並列に回しました。一方でハルシネーション(もっともらしい誤り)が障害になり、攻撃側でも検証が必要だった、とも書かれています。
攻撃の流れ
まずは、人が標的(侵入したい組織)を決めます。
次のフェーズでは、AIエージェント(Claude Code)が標的環境を偵察し、価値の高いシステムやデータベースを探します。
続くフェーズでは、AIエージェントが脆弱性を探して検証し、必要な侵入手段を組み立て、認証情報(ID/パスワード等)を収集してアクセス範囲を広げていきます。
次のフェーズでは、AIエージェントが取得したデータを収集・分析し、情報価値に応じて分類する動きが示されます。
最後に、AIエージェントが攻撃の記録をドキュメント化し、次の作業や引き継ぎに使える形に整理します。
ここで重要なのは、AIエージェントが自律的に行動し、人は“要所の判断”に集中していた、という構造です。
Anthropicはこの攻撃にどう対応したか
Anthropicは不審活動を検知した後、直ちに調査を開始し、約10日かけて範囲と深刻度を把握しながら、関連アカウントの停止(ban)、影響を受けた可能性がある組織への通知、当局との連携を進めたと説明しています。
追加対応として、(1)検知能力の拡張、(2)サイバー向け分類器(怪しい動きを旗立てする仕組み)の改善、(3)自律型サイバー攻撃に対する“早期検知”のプロトタイプ開発、(4)大規模・分散型の攻撃を調査・緩和する新しい手法の開発、が挙げられています。
さらに、当局や業界パートナーへの通知、影響を受けた組織への情報共有、そして今回の攻撃パターンを同社の安全対策(技術面とポリシー面)に反映しました。
まとめ
本レポートの内容をまとめますと以下になります。
- Anthropicは、AIが攻撃工程の多くを実行するサイバー諜報活動を検知し、妨害したと報告しました。
- 戦術作業の80〜90%をAIが担い、人は重要な判断ポイントに寄ったと説明されています。
- Anthropicはban・通知・当局連携に加え、検知や分類器の強化、早期検知の試作など防御側の能力を拡張したと記載しています。
AIエージェントを用いたサイバー攻撃は、まだ始まりにすぎず、脅威の進化はさらに加速するので、企業や政府は一層の注意が必要になります。本レポートでもサイバーセキュリティーへの影響として以下のことを述べています。
高度なサイバー攻撃を実行する障壁は大幅に低下しており、今後も低下し続けると予測されます。
適切な設定があれば、脅威アクターはエージェント型AIシステムを長期間利用することで、経験豊富なハッカー集団が行うような作業を実行できます。
標的システムの分析、エクスプロイトコードの作成、そして窃取した膨大な情報データセットのスキャンなど、人間のオペレーターよりも効率的に作業を実行できます。
経験やリソースが不足しているグループでも、このような大規模な攻撃を実行できる可能性があります。
