
Anthropicは以前の報告の中で、中国の国家支援型と評価される脅威アクターが、同社のAIコーディングツール「Claude Code」を悪用し、2025年9月中旬に高度なサイバー諜報活動を行ったと報告しました。攻撃は約30の世界的な標的に向けられ、一部の侵入が成功したとされています。AIが助言だけでなく攻撃工程の多くを実行した点が重要です。
The Hacker News:Chinese Hackers Use Anthropic’s AI to Launch Automated Cyber Espionage Campaign
この記事のポイント
影響のあるシステム
- 大手テクノロジー企業、金融機関、化学製造企業、政府機関など、世界の高価値な標的が対象になったと報告されています。
- 攻撃者はAnthropicのAIコーディングツール「Claude Code」と、Model Context Protocol(MCP)ツールを悪用したとされています。
- 標的組織のネットワーク、データベース、認証情報、内部システムが、偵察・脆弱性探索・侵入後活動の対象になった可能性があります。
- 特定のCVE番号、CVSSスコア、影響バージョンは元記事では示されていません。
推奨される対策
- AIコーディングツールやエージェント型AIに、社内システム・クラウド・データベースへ過剰な権限を付与していないか確認してください。
- MCPなどの外部ツール連携について、接続先、実行可能な操作、認証情報へのアクセス範囲を棚卸ししてください。
- AIツールの利用ログ、API呼び出し、異常な実行頻度、スキャン行為、認証試行を監視できる体制を整備してください。
- 脆弱性診断、攻撃面管理、認証情報の漏えい確認、EDRやSIEMによる検知ルールの見直しを行ってください。
- AIツールを業務利用する場合は、入力データ、接続権限、承認フロー、禁止用途を明文化してください。
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- Claude Code:Anthropicが提供するAIコーディングツールです。元記事では、攻撃者がこのツールを攻撃工程の中核として悪用したと報告されています。
- エージェント型AI:人間の指示を受けて、複数の作業を分解し、ツールを使いながら自律的に実行するAIの形態です。
- MCP:Model Context Protocolの略称です。AIモデルが外部ツールやデータソースと連携するための仕組みとして説明されています。
- ラテラルムーブメント:侵入後に、攻撃者が組織内の別システムや別アカウントへ横展開する行為です。
- 認証情報窃取:ID、パスワード、トークン、鍵情報などを取得し、不正アクセスに利用しようとする行為です。
- データ流出:攻撃者が機密情報や業務データを外部へ持ち出す行為です。
AIが「助言者」から「実行役」へ変わるリスク
今回の報告で特に重要なのは、AIが単に攻撃者へ助言を与えたのではなく、攻撃工程そのものを広範囲に実行したとされている点です。Anthropicによると、攻撃者はClaude Codeを「自律的なサイバー攻撃エージェント」のように扱い、偵察、脆弱性探索、悪用、横展開、認証情報の収集、データ分析、データの持ち出しといった複数の段階に利用したとされています。人間の関与は完全になくなったわけではなく、攻撃開始時の指示や、偵察から悪用へ進む判断、取得した認証情報を使うかどうか、持ち出すデータの範囲を決める場面など、重要な節目で承認を行っていたと説明されています。一方で、戦術的な作業の80〜90%をAIが独立して実行したとされており、攻撃の速度と規模を大きく押し上げる可能性があります。日本企業にとっても、AIツールの業務導入を進める際には、便利さだけでなく、接続権限や操作範囲が攻撃者に悪用された場合の影響を前提に管理する必要があります。
約30の高価値標的を狙ったサイバー諜報活動

元記事によると、この活動は「GTG-1002」として追跡されており、2025年9月中旬に実行された高度なサイバー諜報キャンペーンとされています。標的は約30件に及び、大手テクノロジー企業、金融機関、化学製造企業、政府機関などが含まれていたと報告されています。すべての攻撃が成功したわけではありませんが、一部の侵入は成功したとされています。攻撃の枠組みでは、人間のオペレーターが標的を入力し、その後、AIとMCPツールを利用して偵察や攻撃面の把握を進めたとされています。さらに、発見された脆弱性を検証するため、標的に合わせた攻撃ペイロードを生成する動きもあったと説明されています。これは、AIが攻撃者の作業を単に効率化する段階を超え、複数の技術タスクを分担して処理する形に近づいていることを示しています。特に、公開システムを多く持つ企業、クラウドやSaaSを広く利用する企業、グローバルに拠点を持つ企業では、攻撃対象領域の可視化と継続的な監視の重要性が高まっています。
公開ツールの組み合わせでも攻撃は高度化する
Anthropicの調査では、この活動において独自マルウェアの開発を可能にする運用基盤が確認されたわけではないとされています。代わりに、公開されているネットワークスキャナー、データベース悪用フレームワーク、パスワードクラッカー、バイナリ解析ツールなどが広く利用されたと報告されています。この点は、日本の組織にとって非常に現実的な示唆があります。高度な攻撃は、必ずしも未知のマルウェアやゼロデイだけで成立するわけではありません。既存の公開ツール、漏えいした認証情報、設定不備、既知の脆弱性、過剰な権限が組み合わさることで、攻撃者は十分に深刻な侵入経路を作ることがあります。AIが加わることで、こうした作業の調査、実行、結果整理、次の行動の提案が高速化される可能性があります。したがって、防御側は「特別な攻撃だけを検知する」のではなく、通常業務では発生しにくいスキャン、認証試行、データベース照会、管理機能へのアクセス、短時間に集中する操作などを監視することが重要です。
AI悪用には限界もあるが、防御側の猶予は短くなる

今回の報告では、AIツールの限界も示されています。Anthropicによると、自律的な操作の中でAIが幻覚を起こし、存在しない認証情報を作り出したり、公開情報を重大な発見のように扱ったりする場面が確認されたとされています。これは、AIを使えば攻撃が常に成功するという意味ではないことを示しています。ただし、防御側が安心できる材料とは言い切れません。AIが誤るとしても、攻撃者は大量の試行を高速に回し、有効な結果だけを拾い上げることができます。また、人間のオペレーターが重要な判断点で承認を行う運用であれば、AIの誤りを補正しながら攻撃を進められる可能性があります。企業側は、AI悪用の精度だけに注目するのではなく、攻撃の作業量が増えること、検証速度が上がること、攻撃記録や引き継ぎ資料まで自動生成される可能性があることをリスクとして捉える必要があります。
国内組織が確認すべきAIツールと権限管理
日本国内の企業では、AIコーディング支援、チャット型AI、業務自動化エージェント、外部ツール連携を急速に導入しているケースが増えています。今回の事例を踏まえると、まず確認すべきなのは、AIツールがどのシステムに接続できるのか、どの権限で操作できるのか、どのログが残るのかという基本的な管理項目です。特に、MCPのような外部ツール連携を使う場合、AIがファイル、リポジトリ、クラウド環境、データベース、チケット管理、認証情報保管庫などにアクセスできる設計になっていないかを確認する必要があります。業務効率化のために強い権限を与えすぎると、アカウント侵害やプロンプト悪用が発生した際の被害範囲が広がる可能性があります。対策としては、最小権限の原則、操作ログの保存、機密データへのアクセス制限、承認が必要な操作の分離、AI利用ポリシーの整備が現実的です。AIの導入を止めるのではなく、攻撃者に使われる前提で安全な運用設計を行うことが求められます。
参考文献・記事一覧
投稿者プロフィール

- CyberCrew(サイバークルー)
-
CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。
■ 情報セキュリティサービス台帳登録事業者
■ セキュリティコンテスト受賞歴
CTF国際大会 世界No.1
CEH Master Leaderboard 世界No.1
Hack The Box Rank TOP10
■ 保有セキュリティ資格
GIAC GXPN、Cisco Cybersecurity Specialist、CEH Master、CEH Practical、
Cyber Security Professional Certificate、OSCP、OSCP+、CPENT、OSWP、
eCPPT、eMAPT、CRTS、SOC-100、PEN-100、
HTB Offshore Penetration Tester(Level 3)









