エージェント型 AI セキュリティ：サイバーハイジーンの不備がグローバルな侵害に発展するのを防ぐ

Claude Code の武器化が明らかにした真の脅威は、「既存の攻撃手法の民主化と自動連携」です。 つまり、基本的なサイバー衛生を怠ることが、悪意ある AI にかつてない速度とわずかなスキルで大規模攻撃を実行させる原因となるのです。

最近の Claude を悪用した事件の目新しさ (AI が侵害された、自律的だった、国家間のスパイ行為だった、と言った声) の裏には、長年にわたる根本的な現実が潜んでいます。組織は基本的なサイバーセキュリティ対策を維持できていません。この攻撃は、最終的に実績のある戦術、技術、手順、および既存のツールに依存しています。

はっきりさせておきましょう。11 月 13 日に Anthropic 社が発表した内容は、もはや後戻りできない新たな時代の幕開けを意味します。 同時に、それは長年にわたりセキュリティチームを悩ませてきた問題にも光を当てています。先制的なエクスポージャー管理の必要性は、かつてないほど高まっています。

攻撃: エージェント型 AI の役割と実行

新たな連携と、使い慣れた戦術の融合

この攻撃の自律性と規模は驚くべきものです。Anthropic は、GTG-1002 と呼ぶ中国政府支援のグループが、エージェント型 AI を使用して約 30 の組織を標的にした自律的なサイバー攻撃を管理し、少数のケースで成功したと報告しています。そのグループは AI モデルに対して「ソーシャルエンジニアリング」を用い、AI モデルがその訓練を回避し、大規模に有害な行動をとるように仕向けた。 これは、エージェント型 AI が主要なテクノロジー企業や政府機関を含む、確認された高価値の標的に対してスパイ活動のためにアクセス権を取得した、初めての事例です。 しかし、これは Claude Code の悪用が報告された初めての事例ではありません。8 月、Anthropic は、大規模な恐喝とデータ窃盗キャンペーンにおいて、Claude Code が「前例のないレベルで」悪用された経緯を詳しく説明しました。

同時に、Claude Code が、攻撃者が長年利用してきたのと同じタスクを実行するように操作されたという事実を見過ごすことはできません。

• 攻撃対象領域マッピング
• サービスディスカバリ
• 脆弱性の発見
• ペイロード生成
• 認証情報の抽出
• 発見されたインフラに基づくラテラルムーブメント
• データ抽出

そして、既存のツールを使ってそれを実現したのです。

脅威モデルを理解する

その AI は、事実上、あらゆることを驚くべき規模で実現可能にする、超オーケストレーションおよび自動化ツールだったのです。GTG-1002 は、容易に入手可能なツールや、標的環境に存在する欠陥や設定ミスを利用して、人間の介入では不可能な規模で攻撃を実行しました。入手可能な報告に基づくと、Claude 自体の従来の固有のコードの脆弱性が悪用されたようには見えません。代わりに、攻撃者は別人になりすまし、モデルのタスク分解に対する脆弱性を悪用しました。これは、モデルが有害な手順を実行するように操作されることを可能にする行動特性です。人間によって構築された AI が、ソーシャルエンジニアリングの一種に屈したのです。2025 年版ベライゾンデータ侵害調査レポートによると、この戦術は侵害事件の 22% に関与しています。

サイバー攻撃能力の民主化

既存のオープンソースツールと脆弱性を活用する

Anthropic のケーススタディによると、「運用インフラは、カスタムマルウェア開発よりも、オープンソースの侵入テストツールに圧倒的に依存しています。ネットワーク スキャナー、データベースエクスプロイトフレームワーク、パスワードクラッカー、バイナリ分析スイートなどの標準的なセキュリティユーティリティが、コア技術ツールキットを構成しています」とのことです。

モデル コンテキスト プロトコル (MCP) サーバーを中心に構築されたカスタム自動化フレームワークは、新しい機能ではなく統合に重点を置いています。報告書によると、これにより、フレームワークの AI エージェントはリモートコマンドを実行し、複数のツールを同時に連携させ、継続的な運用状態を維持することが可能になりました。「攻撃者のフレームワークのカスタム開発は、新しい機能よりも統合に重点を置いていた」と報告書は述べています。

つまり、その機能はすでに利用可能です。誰でもこれを行うことができるはずです。

複数の専門的なモデルコンテキストプロトコル (MCP) サーバーが、Claude と様々なツールカテゴリとの間のインターフェースを提供しました。

• 専用の侵入テストシステム上でのリモートコマンド実行
• ウェブアプリケーション偵察のためのブラウザ自動化
• セキュリティ評価のためのコード解析
• 体系的な脆弱性検証のためのテストフレームワーク統合
• 帯域外エクスプロイト確認のためのコールバック通信

これにより、学習曲線が短縮されます。 これらのキットが広く利用可能になることで、それほど高度な技術を持たない攻撃者も、より洗練された攻撃を行うようになることが予想されます。

現実攻撃を増幅する AI

AI がもたらすパラダイムシフトを完全に理解するためには、危険が全く新しい攻撃方法にあるのではなく、運用速度と規模の増大、つまりオーケストレーションの真の力にあることを認識しなければなりません。

第二次世界大戦中の暗号技術の歴史を考えてみましょう。イギリスのボンベやアメリカ海軍のRAM（Rapid Analytical Machinery）装置は、計算能力の限界を押し広げる、高度に専門化された計算機でした。彼らの画期的な優位性は、何ができるかではなく、どれだけ速く行動できるかでした。毎秒何千もの面倒な計算を自動化することで、手作業による暗号解読の時間集約的なプロセスがなくなり、既存のプロセスが人間の能力をはるかに超えるほど高速化されました。彼らは新たな暗号解読技術を発明したわけではなく、単にその取り組みを加速し、組織化しただけでした。

同様に、今日の悪意のあるAIツールは、まだ私たちのアーキテクチャに根本的に新しい欠陥を生み出しているわけではありませんが、脅威アクターに自動化されスケーラブルなオーケストレーションエンジンを提供しており、偵察、標的設定、ツール選択に要する日数、数週間、または数ヶ月を数時間に短縮し、スキルと時間の障壁を大幅に引き下げています。

Claude の件は、ほんの始まりに過ぎません。これは、今後の敵対的作戦を増幅させる役割を果たすでしょう。これは、防御担当者が現在、膨大な数の脆弱性や毎日開示される新しい CVE (共通脆弱性識別子) の数に対処しているのと同様に、大規模に対処しなければならない新たな問題です。

まとめ: 11 月 13 日以降に向けたサイバーセキュリティ戦略の再構築

今、私たちが問うべきは、「11 月 13 日以降、サイバーセキュリティ戦略をどう見直すべきか」ということです。

このような敵対者に対する防御について考えるとき、従来のルールは依然として適用されますが、もはやそれだけでは十分ではありません。我々には、事前対応型のエクスポージャー管理戦略に基づいた新しい戦略が必要なのです。

— Blake Kizer、Tenable シニアスタッフ情報セキュリティエンジニア、「A Practical Defense Against AI-Led Attacks」

ベンダーの責任: より強固な防御策の構築

ベンダーはより良い安全対策を講じる必要があります。AI を悪用する新たな脅威に対抗するためには、これまでの防御ルールではもはや十分とは言えません。新しい戦略が必要です。既存のガードレールは、攻撃者がそれを回避しようとする試みを検出できるように改善する必要があります。ガードレールは、ペイロードの分割やタスクの分解を検出し、疑わしいイベントにレート制限をかけ、ソーシャルエンジニアリングの試みを特定できるものである必要があります。

現場担当者の最優先事項: 事前対応型のエクスポージャー管理

Claude の事件は、自身の環境と、自分がどのような危険にさらされているかを理解すること、そしてその危険に関連するリスクを軽減する方法を理解することの重要性を浮き彫りにしています。先制的なセキュリティ対策を実践することは、正しい方向への一歩です。私たちは長年、学習性無力感の危険性、既知の悪用可能な脆弱性へのパッチ適用を怠ることのリスク、そして設定ミスと過剰な権限を持つアカウントによる被害について議論してきました。こうしたリスクは新しいものではありません。 新しい点は、エージェント型 AI によって、前例のない規模で悪用が可能になることです。AI によって指揮された攻撃でさえ、横展開や権限昇格に必要な脆弱性、設定ミス、過剰な権限がなければ成功しません。セキュリティは、すべてのサイバーセキュリティ専門家にとって基本的な責任です。基本的なセキュリティ衛生の基準を高めることは、私たちの集団的な防御にとって不可欠です。現状維持に甘んじる時代はとうに過ぎ去りました。今こそ、先手を打つべき時なのです。