Anthropicの脅威インテリジェンスレポートを読み解く～AIが攻撃者の武器になる時

Anthropic（アンスロピック、アンソロピック）は米国のスタートアップ企業で、大規模言語モデルを用いた対話型生成AI、「Claude」を開発・公開しています。2025年8月、同社の脅威インテリジェンスチームは、AIの悪用に関する事例ベースのレポート「Threat Intelligence Report: August 2025」（以降、本レポート）を発表しました。単なる仮説的なリスクではなく、憶測を排除し、悪意ある行為者が高度なAIモデルを悪用した実際の事例を詳細に記録しています。これらの事例からは、重大な転換点が明らかになっています。すなわち、人工知能はもはや攻撃者のツールの一つに留まらず、それ自体が攻撃主体となりつつあるのです。

このレポートでは、特に懸念すべき4つの傾向が指摘されています。

①従来は熟練したサイバー攻撃者のみが実行可能だったキーボード操作レベルの作業を、AIエージェントが遂行しています。
②その結果、技術的な知識が乏しくても、AIの力を借りれば複雑な攻撃キャンペーンを実行できるようになっています。
③犯罪者グループはAIを偵察活動から身代金交渉に至るまでのあらゆる段階に組み込み、犯罪活動を高度化させています。
④おそらく最も憂慮すべきは、モデルが詐欺経済の全工程に組み込まれ、窃取情報の分析から合成IDの生成、さらには人間の信頼を悪用した詐欺スキームの大規模展開まで行っている点です。

本記事は、本レポートから注目すべき事例を紹介し、それが今後どのようなリスクをもたらすのか、また日本の社会や法人組織にとってどのような意味を持つのかを考えます。

なお、Anthropicでは攻撃キャンペーンまたは攻撃者をトラックするため、「GTG-数字4桁」のコードネームを使用します。

ケース1：「バイブハッキング」～大規模AI駆動型データ窃取の実態（GTG-2002）

「バイブコーディング（vibe coding）」という言葉をご存知でしょうか。これは、人間が自然言語でAIに「このようなアプリを作りたい」という雰囲気（vibe）を伝え、AIが主体となってコードを生成するソフトウェア開発手法のことです。人間が厳密な設計を行わなくても、AIがコードを生成したり修正したりしてくれるため、エンジニアでなくてもアイディアを形にできる可能性が広がります。
それと同様のことがサイバー犯罪の世界でも起きており、それを本レポートでは「バイブハッキング」という表現で表しています。

＜関連記事＞AI駆動型マルウェアとは何か？～ Vibe Codingを駆使するLAMEHUG、PromptLockを解説

単一の攻撃者が「Claude Code^※」を“能動的”なオペレーターとして悪用し、少なくとも17の組織（政府機関、医療機関、緊急サービス、宗教施設など）を狙った作戦が、捜査当局により阻止されました。この事例では、攻撃者は、偵察活動、認証情報の収集、水平移動、データ流出を自動化しており、AIモデルが単なる助言を行うだけでなく、攻撃の実行にも悪用されていました。
※Claude Code：CLI（コマンドラインインターフェース）に特化したAI支援型のコーディングツールで、自然言語による指示を通じて、コードの修正、生成、Git操作などの作業をサポートする。

攻撃者の手口は次のようなものです。
被害組織のデータを暗号化するのではなく、直接盗み出し、公開すると脅迫しました。さらに、モデルによって金融データを分析して身代金の金額を算出し（その額は50万ドルを超えるケースもありました）、被害者の端末上で自動的に表示されるHTML形式の身代金要求書を生成するためにもモデルを利用していました。

技術面から分析すると、このオペレーターは持続的な「CLAUDE.mdファイル^※」に指示を埋め込むことで戦術を形成しつつ、どのシステムを標的にするか、経営陣にどのように圧力をかけるかといった戦術的・戦略的判断はエージェントに依存していました。
※CLAUDE.mdファイル：Claude Codeが起動時に自動的に読み込む設定ファイルのこと。プロジェクトの全体像をAIに伝える役割があり、プロジェクトの基本情報、コンテキスト（プロダクトの目的とユースケースなど）、制約とガードレール（禁止トピックの明示や出力スタイルの規定）など、AIモデルへの指示を体系的にまとめる。一度記載すれば毎回のプロンプトを用いての説明が不要となる。

この事例の深刻さは、攻撃のライフサイクルからも明らかです。モデルはまず数千ものVPNエンドポイントを高い精度でスキャンし、次にドメインと認証情報の列挙を支援し、最終的には盗んだデータを収益化可能な形式に整理しました。つまり、たとえ一人の攻撃者でも、複数の技術者を有する犯罪グループに匹敵する規模の活動ができる可能性を示したのです。

このケースが将来的なリスクとなる理由

防御側はもはや、時間も専門知識も限られる単独の人間と対峙しているわけではありません。対峙しているのは、リアルタイムで適応可能で、複数分野に同時に展開でき、標的固有の脆弱性に基づいて攻撃を微調整できるAI搭載オペレーターなのです。実際問題として、たとえばある病院で患者のプライバシー保護に対する脅威に直面するなか、それと同時に、ある政府機関で市民記録の漏洩や契約解除のリスクにさらされる、という事態が起こり得るのです。

この変化が特に危険なのは、攻撃者の技術力の高さを示す従来の指標が消失しつつある点です。これまでは、高度に組織化された恐喝キャンペーンは、豊富なリソースを持つ経験豊富なグループの証でした。しかし今や、平均的な犯罪者と高度なAIエージェントの組み合わせによって、同じレベルの精度が再現可能になっています。「熟練した攻撃者」と「高度なツール」の境界線は曖昧になり、低レベルのオペレーターであっても企業レベルの混乱を引き起こせる状況が生まれています。

防御側にとって、これは極めて深刻な事態です。攻撃者の能力を前提とする対応フレームワークは、もはや通用しなくなる可能性があります。AIの支援によって、技術力の低い攻撃者であっても、APT攻撃と同様の攻撃を大規模に実行することも不可能ではなくなります。

ケース2：北朝鮮系リモートワーカー詐欺事件～「キャリアシミュレーションツール」としてのAI

北朝鮮には長年、国連の安保理決議などにより、ヒト、モノ、カネの流れなどに対する多岐にわたる制裁措置が課されています。このため北朝鮮では、外貨獲得や他国の機密情報窃取のために様々な手法が試みられていることが考えられます。

次の事例では、非エンジニアの工作員がAIを全面的に活用し、リモートでのエンジニア職を確保していました。人物像の構築からポートフォリオの作成、面接指導、実際の業務におけるコーディング、プロフェッショナルなコミュニケーションに至るまで、あらゆる面でAIに依存し、フォーチュン500企業を含む大企業での職位を保持していたと報告されています。

この不正行為は段階的に行われていました。まずAIが現実的な経歴とポートフォリオを作成し、一貫性のあるキャリアパスと文化的な洗練度を備えた人物像を構築します。次にAIが履歴書とカバーレターをカスタマイズし、技術面接の際にはリアルタイムでサポートを提供します。採用後は、AIがコードを記述し、メールを作成し、コードレビューへの対応を支援するため、AIの利用率が急激に増加します。分析によると、AIの利用の約80%が実際の就業中に行われていたことが判明しています。

AI利用状況の内訳を見ると、フロントエンド開発業務（Webサイトやアプリの制作で、ユーザが直接見る部分や操作する部分のソフトウェア開発）への依存度が最も高く（61%）、汎用プログラミング（26%）、面接準備（10%）が続きます。バックエンド作業への利用は限定的でした（3%）。この実態が示すのは、技術的知識を持った専門家ではなく、AIをたよりに能力を偽装していた一般従業者の姿に思われます。

このケースが将来的な脅威となる理由

従来、北朝鮮のIT活動におけるボトルネックは、人材育成の不足でした。コードを書ける人材を育成し、英語での面接をクリアさせ、海外の労働文化に適応させるには、エリート教育機関での長年にわたる専門的な教育が必要です。このような投資には限りがあります。しかし現在、AIが技術的な指導と言語能力の両方を提供できるようになったことで、この制約はもはや存在しません。

AIは説得力のあるプロフェッショナルな人物像を生成し、面接指導を行い、さらには実際の業務タスクについても段階的なサポートを提供できます。つまり、最低限の基礎知識しか持たない個人でも、有能なエンジニアとして振る舞うことが可能になります。一度企業に潜入すれば、彼らは社内ツールや独自コード、機密データにアクセスできるようになります。これらは国家の優先事項に転用可能な資産です。給与についても、武器開発などのプログラムに密かに流用することが可能です。

この脅威の本質は、単に侵入者の数が増えることだけではありません。これらの活動の持続可能性にもあります。コードのデバッグやドキュメント作成を自力で行えない工作員であっても、AIがその不足部分を補い続ける限り、無期限に雇用され続けることができます。これにより、従来は高度なスキルと高リスクを伴う工作活動が、スケーラブルで再現性のある戦術へと変貌するのです。

ケース2：北朝鮮系リモートワーカー詐欺事件～「キャリアシミュレーションツール」としてのAI

ケース3：ノーコード型RaaS (Ransomware as a Service)～高度なペイロード販売モデル（GTG-5004）

英国を拠点とする攻撃者（GTG-5004）は、AI技術を活用して高度な暗号化技術とEDR回避技術を組み込んだランサムウェアキットを開発・販売していました。提供されていた製品には、ペイロード単体で400米ドルから、「FUDクリプター」と呼ばれる高度な暗号化ツールに至っては1,200米ドルで販売されており、Tor^※サイトやProton Mail^※※を通じて提供されていました。この攻撃者は複数のフォーラムで宣伝活動を行うとともに、「研究目的のみ」と謳った解説動画を公開していました。
※Tor：Tor（The Onion Router、トーア）は、インターネット上のプライバシーと匿名性を目的としたNPOが制定した通信規格、およびその技術を利用したWebブラウザ。
※※Proton Mail：スイスの企業Proton AGが提供する、プライバシーとセキュリティを重視した暗号化電子メールサービス。メールの内容や添付ファイルは当該ユーザのみ閲覧可能。

技術的には、これらのキットはChaCha20暗号アルゴリズムとRSA鍵管理システムを採用しており、ヘッダー領域の暗号化、シャドウコピーの削除、ユーザディレクトリと共有フォルダの優先標的化などの機能を備えていました。さらに、デバッグ防止機能やFreshyCallsやRecycledGateといった直接システムコールを利用する手法を採用することで、フック機構を回避する設計となっていました。

本レポートでは「最も注目すべきなのは、この攻撃者が機能的なマルウェアを開発するためにAIに完全に依存していると推察される点です。この攻撃者は、Claudeの支援なしには暗号化アルゴリズム、解析回避技術、またはWindowsの内部構造操作を実装する能力を持っていないと見られます」と述べています。
つまり、暗号技術やWindows内部構造に関する知識を持たない者でも、「実用的な」ランサムウェアを容易に提供できるようになったのです。本レポートでは、この現象を犯罪市場の民主化と評しています。

このケースが将来的な脅威となる理由

AIをランサムウェア開発に導入することで、脅威のライフサイクル全体が加速します。攻撃者は変異型を迅速に生成・テスト・展開できるようになり、防御側がシグネチャを更新したり対策を実施したりする速度を大幅に上回ります。このような「急速な進化」により、従来は数か月かけて進化していたマルウェアファミリーの変異が、現在では数週間、あるいは数日単位で発生する可能性があるのです。

さらに懸念すべきは配布モデルです。すでに「RaaS (Ransomware as a Service)」の形態では、技術的スキルが限られている協力者でも攻撃ツールや犯罪インフラをレンタルできるようになっています。AIが暗号化処理や回避技術、配信メカニズムを処理することで、参入障壁はさらに低下し続けています。これまで実用的なコードを記述できなかった者でも、実際に機能するランサムウェアキャンペーンを実行できるようになったのです。

攻撃元の特定もますます困難になっています。通常アナリストは、マルウェアファミリーに見られる固有のスタイルやエラーの痕跡などをもとに攻撃者グループを特定しますが、AIが生成したパターンを含むコードにはそうした特徴が欠如していることが多いのです。このようなAI特有の痕跡が様々な攻撃者やキャンペーン間で拡散するにつれ、攻撃が組織化されたグループによるものか、単独犯によるものか、あるいは模倣犯によるものかを区別することがますます難しくなります。

ケース4：MITRE ATT&CKライフサイクル全体にわたってAIを活用した中国の攻撃者

多くの方がご存じのように、サイバー攻撃の流れと手法を体系化したフレームワーク「MITRE ATT&CK」では、サイバー攻撃の流れを次の14の戦術に整理しています。

①Reconnaissance（偵察）、②Resource Development（攻撃ツールや環境の整備）、③Initial Access（初期アクセス）、④Execution（実行）、⑤Persistence（攻撃の永続性確保）、⑥Privilege Escalation（権限昇格）、⑦Defense Evasion（防御回避）、⑧Credential Access（資格情報へのアクセス）、⑨Discovery（侵害後の情報収集）、⑩Lateral Movement（水平移動）、⑪Collection（データ収集）、⑫Command and Control（コマンド＆コントロール）、⑬Exfiltration（データ窃取）、⑭Impact（最終的な行動）

本レポートでは、この14戦術のうち12において、AIをアドバイザー、開発者、アナリストとして体系的に活用し、9か月以上にわたってベトナムの重要インフラを標的とした中国の攻撃者について解説しています。攻撃者はAIを用いてカスタムスキャナーやファジングツール、エクスプロイトフレームワークを開発・最適化し、認証情報の収集効率を向上させ、水平展開の計画を立て、OPSEC（運用セキュリティ）を維持するためのプロキシチェーンを構築しました。

この攻撃キャンペーンでは、通信事業者、政府系データベース、農業関連システムなどが侵害されたとみられており、国家安全保障に影響を及ぼす情報収集活動が目的であったと推測されます。

＜関連記事＞MITRE ATT&CKとは？～Detection&Responseが効果を発揮するには“攻撃シナリオ”ベースの検知こそ重要～

このケースが将来的な脅威となる理由

攻撃者が最先端のAIモデルを攻撃ライフサイクルのあらゆる段階に統合した場合、攻撃の進行速度が根本的に変化します。従来のように偵察からの悪用、水平展開、情報流出を段階的に、人間による分析を挟む形で実行するのではなく、ほぼリアルタイムで一連のプロセスが連鎖的に進行するようになります。これにより、初期の探索段階から完全な侵害に至るまでの時間が大幅に短縮されるのです。

さらに重要なのは、この攻撃手段の幅が飛躍的に広がる点です。従来のように限られた数のツールや脆弱性を熟知するだけでは不十分となり、AIを活用してカスタムスキャナーを生成したり、ファジングツールを構築したり、権限昇格の最適な経路を最適化したり、さらには各標的に合わせてカスタマイズした運用手順書を自動生成することも可能になります。このような広範な能力により、防御側は使用される技術や攻撃のタイミングを予測することがますます困難になります。

同様に重要なのがフィードバックループの存在です。攻撃が失敗するたびに、その失敗がAIにとって新たな学習材料となります。この反復的なプロセスにより学習サイクルが短縮され、攻撃者は防御策の変化に迅速に対応しながら攻撃を継続できるようになります。セキュリティチームにとっては、検出シグネチャやパッチ適用済みの脆弱性が、それらが配備されるよりも速く回避されてしまう可能性が高まることを意味します。

その結果、防御側にとって最も貴重な資産の一つである「時間」に圧力がかかることになります。AIを活用した攻撃キャンペーンによって、偵察から実際の影響発生までの時間が短縮されれば、組織は異常を検知し、アラートを調査し、対応を調整するために必要な時間的余裕を失ってしまいます。適応型システムによって動的に生成される攻撃の「次の一手」を予測することは、このような状況下では極めて困難になるのです。

ケース5：AIによる詐欺サプライチェーンの進化

AIは、ランサムウェアや国家レベルのサイバー攻撃といった注目を集める事件だけでなく、より目立たないものの、同様に深刻な影響を及ぼす詐欺の世界にも変革をもたらしています。犯罪者グループは、盗んだクレジットカードの検証から合成IDの生成、さらにはロマンス詐欺の指導に至るまで、詐欺サプライチェーンのあらゆる段階にAIモデルを組み込んでいます。その結果生じるのは、単なる詐欺件数の増加ではなく、以前よりも大規模で耐性が強く、より説得力のある詐欺手法の出現です。

• 盗難ツールのログデータに基づく行動プロファイリング：ある攻撃者は、MCP（Model Context Protocol）^※とAIモデルを連携させ、一般的な盗難ツールが生成するアーティファクトを解析し、ドメインを分類し、被害者の関心事項をランク付けした上で、ターゲットを絞ったフォローアップ用の詳細なプロファイルを生成しました。この技術の価値は単なるデータ抽出にとどまらず、大規模かつ体系的なトリアージと優先順位付けを可能にする点にあります。
※MCP（Model Context Protocol）：2024年にAnthropic社が発表した、大規模言語モデル（LLM）と外部のシステム、データソース、APIなどを接続するためのオープンプロトコル。

• カード取引プラットフォームの耐障害性強化：スペイン語圏の犯罪組織では、AIモデルを悪用して、APIローテーション、フェイルオーバー機能、レート制限、企業レベルの運用セキュリティ（OPSEC）を備えた多機能なカード検証システムを開発しました。これにより、盗まれた大量のクレジットカード情報を安全に処理することが可能になっています。

• 大規模展開可能なロマンス詐欺ボット：Telegram上で運用されているボットは、日本語や韓国語を含む複数言語に対応した「高い感情知能（EQ）」を特徴とするClaudeモデルを採用し、各段階のシナリオに応じたスクリプトを生成することで、感情操作を伴う詐欺行為を支援しています。このサービスは月間1万人以上のユーザを獲得していると報告されています。

• 合成IDサービスの展開：調査チームは合成IDサービスも確認しています。このサービスでは、各コンポーネントがAIモデルの支援によって構築され、データ収集からインフラ構築、収益化に至るまでの不正利用のための一連の仕組みがカバーされています。

これらのケースが将来的なリスクとなる理由

詐欺行為は、従来のような偶発的で手作業による手口から、高度にシステム化されたプロセスへと進化しています。各段階にAIが組み込まれることで、犯罪者は被害者の選定を自動化し、文化的背景や感情的な訴求力を考慮した個別最適化されたアプローチが可能になっています。さらに、堅牢で企業レベルのインフラを活用することで、継続的な運営も可能になっています。これにより、従来は個々の犯罪者の即興的な判断に依存していた詐欺行為が、今や機械による最適化を背景として継続的に実行できるようになっています。

この進化の結果として、効率性が深刻なレベルで向上しています。被害者には個別化された説得力のあるメッセージが届くことで詐欺の成功率が上昇し、同時に運用コストも低減します。結局のところ、AIはこれまで人間の労力や大規模なチームを必要としていた作業を自動化しているのです。長期的に見れば、この傾向は単に詐欺の量を増やすだけでなく、その成功率も向上させます。そのため、防御側がこれまで頼りにしてきた「ぎこちなさ」や「言語的な誤り」といった従来の詐欺検知指標では、詐欺を見抜くことがますます困難になっていくでしょう。

＜関連記事＞ウイルスを使わないサイバー犯罪者の動向～Language Threat（言語ベースの脅威）～

法人組織にとっての意味

本レポートから明らかになるのは、AIの悪用はもはや理論上のリスクではなく、すでに企業や公的機関に直接的な影響を及ぼす形で脅威の様相を変えつつあるという点です。経営層や取締役、政策担当者にとって、本レポートで取り上げられた事例は、IT部門の枠を超えた広範な課題を浮き彫りにしています。

• 事業継続の危機：自動化された恐喝キャンペーンは、病院や自治体サービス、さらにはサプライチェーンにまで混乱をもたらす可能性があります。たったひとつの攻撃でも、基幹業務を停止させる事態となれば、経済的損失だけでなく、社会的信頼の失墜という深刻な影響も避けられません。

• 規制対応とコンプライアンスリスク：医療・行政・金融関連データの窃取は、個人情報保護法や各業界固有の規制に直接的な影響を及ぼします。AIを駆使したカスタマイズ型の恐喝では、機密データが規制当局や法的紛争において組織を攻撃する武器として利用される可能性が高まります。

• 業界への戦略的浸透：北朝鮮によるリモートワーカー詐欺事件が示すように、AI技術を駆使すれば、専門知識が不十分な者でもグローバル企業に侵入することが可能になります。高度な製造業や技術研究開発が国家の重要資産である日本において、このような侵入は知的財産の窃取を招き、長期的には競争力と安全保障に重大な影響を及ぼす恐れがあります。

• 消費者の信頼喪失：日本語対応のAI技術を駆使した詐欺スキームを含む不正行為の連鎖は、個々の被害者だけでなく、金融業界全体にとっても脅威となります。消費者がデジタルバンキングや電子商取引のセキュリティに信頼を失えば、企業は修復が困難なほどの風評被害を受ける可能性があります。

これらのリスクから防御するためには、単なる部分的なアップデートでは不十分と考えられます。組織全体でセキュリティ体制を強化し、継続的な監視体制を整え、AIを活用した攻撃を未然に検知・対処可能なプロアクティブな脅威インテリジェンス能力への投資が不可欠です。

＜関連記事＞プロアクティブセキュリティの実現に向けて～リスクベースでコレクティブな取り組み～

なぜ未来を見据えた防衛対策が重要なのか

本レポートで指摘されている悪用事例が示すように、敵対者は従来の防御手段が追いつけない速度でAIを悪用する手法を進化させています。法人組織にとってこれは、単なる技術的課題ではなく、戦略的な課題とも言えます。というのも、重要なサービスを保護し、市民や顧客データの安全を確保し、そしてデジタルトランスフォーメーションを基盤とする社会において信頼を維持することが求められているからです。

この課題に対応するためには、以下の取り組みが必要だと考えられます：
• 新たな攻撃手法が広範に拡散する前にその存在を特定できる、積極的な脅威インテリジェンス
• AIを悪用する攻撃者に対応した防御システムの構築。自動化された偵察活動、適応型恐喝、大規模な詐欺キャンペーンなどの検知能力
• 企業全体でのレジリエンス計画の策定。万が一インシデントが発生したとしても、事業継続性、規制遵守、企業の評判が守られるようにすること

このような環境下において、未来を見据えた防衛対策はもはや選択肢ではありません。これは日本政府（特に内閣府）が提唱するSociety 5.0のビジョン、すなわち「狩猟社会」「農耕社会」「工業社会」「情報社会」に続く第5の社会像として、サイバー空間とフィジカル空間を高度に融合させ、人間中心の豊かな社会を実現しようとする国家的コンセプトに直結しています。Society 5.0が目指すのは、先端技術を活用して経済発展と社会課題の解決を同時に成し遂げることです。そのため、日本企業にとって防衛対策の強化は競争力の基盤であり、規制対応や社会的信頼の確保にも直結する重要な要素なのです。

＜関連記事＞
・AI駆動型マルウェアとは何か？～ Vibe Codingを駆使するLAMEHUG、PromptLockを解説
・ウイルスを使わないサイバー犯罪者の動向～Language Threat（言語ベースの脅威）～
・MITRE ATT&CKとは？～Detection&Responseが効果を発揮するには“攻撃シナリオ”ベースの検知こそ重要～
・AIの発展とその影響：2024年の世界の動向まとめ
・「AIのリスク」に対する世界の取り組みを理解する（前編）～主要な組織編～
・「AIのリスク」に対する世界の取り組みを理解する（後編）～イニシアティブ・宣言編～