Artificial Intelligence (AI)
AI主導のサイバー攻撃時代における企業防御の再定義
サイバー犯罪者が自律型AIツールを活用して攻撃力を高める動きが広がりつつあり、最近のAnthropic社のClaude Codeの悪用がその象徴となっています。AI関連の脅威が進む状況を踏まえると、企業はエージェント型AIを基盤としたセキュリティプラットフォームの導入や、先回りした防御策を整える必要が高まっています。
- 2025年9月に発生したAnthropic社のClaude Codeツールを用いたAI主導のサイバー諜報キャンペーンは、脅威情勢の大きな転換を示しています。攻撃者はAIやAIエージェントを使って高度な攻撃を自動化し、大規模化する方向へ進んでおり、人手による操作は最小限に抑えられています。
- Trend Researchの調査では、生成AIやエージェント型AIを犯罪者が取り入れる動きが段階的に進んでいることが示されています。特に、脱獄させた大規模言語モデル(LLM)やディープフェイクサービスが好まれており、参入障壁の引き下げ、攻撃効率の向上、標的範囲の拡大につながっています。
- エージェント型AIのアーキテクチャは、複雑な攻撃チェーンの自動化、状況変化への迅速な対応、持続的かつ大規模なキャンペーンの展開を可能にします。こうした能力が従来のセキュリティ対策を揺さぶり、自動化されたエージェント型防御への転換を促しています。
- AIで高度化した脅威へ対抗するには、エージェント型AIを基盤としたセキュリティプラットフォームへの投資、デジタルツイン技術などを活用した先回りの攻撃シナリオ検証、脅威インテリジェンスやアトリビューション手法の強化、責任ある情報開示の推進が欠かせません。
Anthropic社が最近公表したAIが主導したサイバー諜報キャンペーンは、攻撃者が自律型の人工知能(AI)を使って攻撃を自動化し、大規模化するという、より広い潮流を象徴しています。この事件では、中国と関係があるとされるグループがAnthropic社のClaude Codeツールを操作し、世界中の約30の組織(テクノロジー企業、金融機関、化学メーカー、政府機関など)を自律的に標的にしました。攻撃者は脱獄(ジェイルブレイク)手法を用いてAIのガードレールを回避し、偵察、エクスプロイトコードの作成、認証情報の窃取、機密データの持ち出しといった活動をAIに実行させ、人手による関与は最小限に抑えられていました。この出来事は、高度化するAI主導の脅威に対抗するため、より強固な安全策と業界全体での連携が急務であることを示しています。
現行の脅威動向
初期段階
トレンドマイクロが進めている、犯罪者によるAI利用に関する先進的な調査から、脅威動向が急速に変化していることが明らかになっています。トレンドマイクロがアンダーグラウンドのフォーラムや市場を分析したところ、サイバー犯罪者は当初、生成AI(GenAI)技術の活用に消極的でしたが、関心と活動量が明確に増加しています。初期の犯罪利用は、ChatGPTのようなAIツールを使ってマルウェアのコーディング、フィッシングメールの作成、ソーシャルエンジニアリングのキャンペーン支援などを行うものでした。これらの行為は、AIを使って既存の攻撃手法の効率を高めるものであり、AI自体が攻撃の核となるマルウェアを生み出す段階には至っていませんでした。
注目すべき動向として、いわゆる犯罪者向け大規模言語モデル(LLM)が広まりつつある点があります。犯罪コミュニティで提供される多くのモデルは、実際には独自に学習されたものではなく、脱獄をサービス化したフロントエンドに過ぎません。商用LLMの倫理的なガードレールを回避し、フィルタリングされていない攻撃的な応答を生成させるための特別なプロンプトを組み込んだインターフェースです。代表例としてWormGPTやDarkBERTが挙げられますが、これらは形式を変えて何度も登場し、新たな機能や能力をうたうことがよくあります。実態は詐欺や、市販モデルのインターフェースを置き換えただけのものも多い状況です。それでも犯罪者が匿名性や秘匿性を求めるため、開発が途切れることはありません。
ディープフェイク技術も、急速に広がっている分野の1つです。犯罪者は現在、金融機関のKYC確認を回避する目的のディープフェイクサービス、詐欺や恐喝に利用する映像の捏造を提供しています。提供されるサービスの範囲は画像や動画の加工から、偽のビデオ通話用アバターをリアルタイムで生成するものまで広がっています。品質や精度も向上しており、著名人だけでなく一般市民への攻撃も可能になっています。
これらトレンドマイクロが継続中の調査から、犯罪者によるAIの利用は急激な革命ではなく、段階的な発展であることが確認されています。犯罪者は、既存のLLMを脱獄させる手法やディープフェイクサービスの利用など、参入障壁を下げて効率を向上させる手段を好む傾向があります。また、このアンダーグラウンド市場には犯罪者同士を狙う詐欺も多く、アンダーグラウンド市場のコミュニティが新しいAI機能に便乗して利益を得ようとする性質がよく表れています。GenAIの能力が進化し続ける状況の中で、トレンドマイクロはこうした動向を注意深く追跡し、AIで高度化した脅威に対抗するための防御強化を企業や組織に促しています。
現行のAI悪用動向
攻撃者は、コード生成やLLMの脱獄にAIを使う段階から、AIをマルウェアそのものに組み込む段階へ進んでいます。代表的な事例として、攻撃者グループ 「LameHug」の手法「PROMPTSTEAL」により、AIプラットフォームとコミュニティ HuggingFace上のAIを利用して情報窃取スクリプトを生成したケースや、AI悪用型のサイバー攻撃キャンペーン 「PROMPTFLUX」が、GoogleのGemini AIに難読化手法を求めたケースがあり、攻撃者が従来型の静的なマルウェアから一歩先に進んでいる状況がうかがえます。APIキーの失効やAI生成コードの不確実性といった課題は残るものの、攻撃者がAI技術の新たな悪用方法を探り続ける中、AIを利用したサイバー犯罪は今後さらに拡大する可能性が高く、先回りの防御戦略が欠かせません。
ネットワーク分割、多要素認証(MFA)、エンドポイント検知応答(EDR)といった従来の防御策は、今もサイバーセキュリティの基盤となっていますが、AIを活用したサイバー脅威の影響を強く受けつつあります。信頼できる情報源を模倣したAI生成による不正コードを利用する「バイブコード」型攻撃は、アトリビューションやシグネチャベースの検知を一層困難にするものです。AIが正規の研究を模したり、他の攻撃者の手法を再現したりすることで、正当な活動と攻撃を区別することが難しくなり、防御側の判断が揺さぶられます。
Anthropic社の報告によると、Claudeは攻撃者による操作を受けて自らエクスプロイトコードを書き、そのコードを使って認証情報を収集し、機密情報にアクセスする手段を提供しました。特にエージェント型AIとしてのAI主導マルウェアは、サイバー犯罪エコシステムにおける大きな変化を象徴しています。AIエージェントが人間主体のGenAI利用を置き換えつつあり、攻撃者は独自のエージェント型AIアーキテクチャを展開し、複数の専門エージェントが固有のツールや役割を持ちながら、洗練されたオーケストレーション層の指示のもと協調して動作させるようになっています。以前はチーム単位の協力が必要だった作業が自動化され、数日から数週間かかっていた攻撃が数時間で進行する可能性があります。また、AIエージェントは大規模に複製できるため、複数の標的に対して同時に攻撃を展開し、状況に応じて素早く適応させることも可能です。Anthropic社の事例では、攻撃者はAIのエージェント機能を悪用しました。Claudeに対して、小さく無害に見えるタスクとして偽装した指示を与え、防御目的のテストであると誤認させることでAIを騙し、キャンペーン全体の80%から90%をAI自身が実行する結果になりました。
近い将来に予測される動向
現在のAI主導攻撃の多くは、従来のサイバー犯罪手法(フィッシング、ランサムウェア、クレデンシャルスタッフィングなど)を大規模かつ高効率で実行できるようにした発展形に位置づけられます。AIによる自動化が加わることで、これらの攻撃モデルは効率と耐性が大きく向上しています。同時に、AIは従来は複雑さや必要なリソースの大きさから実行が困難だった新たなサイバー犯罪の可能性も広げています。たとえば、物理的な監視とデジタル攻撃を組み合わせた極めて精密なフィッシングキャンペーンなどが挙げられます。手作業による操作からAI主体の実行へと移行することで、サイバー犯罪は「Cybercrime as a Service(サービス型サイバー犯罪)」から「Cybercrime as a Servant(自律支援型サイバー犯罪)」へと姿を変えつつあり、犯罪行為がエージェント型AIによって管理される方向に進んでいます。
エージェント型AIは階層的なアーキテクチャを持つため、サイバー犯罪に大きな影響を与える存在となっています。オーケストレーターがタスクを割り振り、特定の業務に専念するエージェント間でデータの流れを管理する仕組みを備えています。オーケストレーターは犯罪オペレーションの「頭脳」として機能し、目的と利用可能なデータに基づいて最適な順序でエージェントを連携させるワークフローを組み立てます。この構造によって、エージェントは中断から素早く回復し、状況変化に即応しながら動作できます。優先順位、役割、戦術を即座に再構成できるため、適応性が高く、持続的で、規模拡大が容易な攻撃エコシステムが形成され、従来のセキュリティ対策では対処が難しくなっています。
モジュール構造であることも、持続的な多段階攻撃の実行を後押しします。犯罪エージェントはインフラの一部が停止した場合でも複雑なタスクを独立して遂行し、攻撃の継続を維持できます。新たな攻撃手法やツールも容易に組み込むことができ、新しいエージェントを追加するだけで大規模な再設計を必要としません。この仕組みにより、標的となるシステムの脆弱性の特定と武器化が加速されます。Anthropic社の事例では、Claudeが標的システムの脆弱性の発見と検証に悪用されました。エージェントは膨大なデータセットを分析し、未知の弱点を見つけ、標的に特化したエクスプロイトを迅速に作成・投入できます。このような仕組みを備えた攻撃者に対して、防御側は自己修復的なアーキテクチャを相手にすることになり、対応が一段と難しくなります。長期的には、AI主導のマルウェアとエージェント型AIが悪意ある行為者の手に渡ることで、サイバーセキュリティは新たな基準点を迎えることになります。防御側は、個人を標的とする従来型の対策ではなく、自律的に動作するネットワーク全体に対応できる同等の自動化されたエージェント型防御を導入する必要が生まれます。
企業リスクへの影響
エージェント型AIの犯罪利用はまだ初期段階にありますが、その統合が進むにつれて既存の犯罪ビジネスモデルが加速し、攻撃の速度、柔軟性、持続性が大きく向上する見通しです。たとえば、エージェントは被害者の属性に応じてマルウェアのペイロードを最適化し、複雑なエクスプロイトチェーンを自動化し、侵害で得た膨大なデータを解析して収益化することが、人間の関与をほとんど必要とせずに可能になります。さらに、エージェント型AIは、大量かつ低利益のソーシャルエンジニアリング詐欺のような攻撃を、スケール可能なAI対話によって成立させ、利益を生むものに変えていきます。エコシステムが成熟するにつれ、エージェントやオーケストレーターを購入できる犯罪市場が形成され、参入障壁が一段と下がり、攻撃者の専門化が進む流れが生まれます。
エージェント型AIの普及が進むと、企業はクラウドやAIインフラを狙った攻撃の急増を想定する必要があります。これらの環境は、攻撃者にとってスケーラブルなリソースと価値の高いデータを提供するため、標的として魅力を持ちます。エージェント型サイバー犯罪の進化は、新たな攻撃手法を生み出し、既存の手法も高度化させ、犯罪ビジネスモデルの構造を変化させていきます。その中で人間は攻撃実行者ではなく監督者の立場になり、「Cybercrime as a Servant(自律支援型サイバー犯罪)」が象徴するようなモデルが広がる可能性があります。こうした動きは犯罪エコシステム全体に予測しづらい波及効果をもたらすため、先回りした備えが重要になります。
AIの速度で対処するために
企業や組織が資産を守るためには、高度なエージェント型AIを活用したセキュリティプラットフォームや先回りした攻撃シミュレーションへの投資が求められ、新たな脅威に関する教育を重視し続ける必要があります。脅威情勢が変化し続ける中、攻撃者の速度と適応力に追いつくには、次の取り組みが重要になります。
エージェント型防御
サイバー犯罪者がエージェント型AIのアーキテクチャを積極的に用いるようになるにつれ、組織とセキュリティチームも同様のアプローチで自動化された防御体制を構築する必要があります。これは、インシデント対応やアラートの振り分けを行うだけでなく、時間の経過とともに新たな脅威を学習し適応できるオーケストレーターやエージェントを運用することを意味します。エージェント型AIによるセキュリティプラットフォームを導入することで、セキュリティ運用が現代のサイバー犯罪の戦術や規模に追随でき、手動の作業への依存を減らし、新しい種類の攻撃への対応力を高めることができます。
プロアクティブなシミュレーション
実際の攻撃が発生するのを待つのではなく、デジタルツイン技術(環境の仮想レプリカ)を活用することで、さまざまな攻撃シナリオを再現し、防御態勢を評価し、攻撃者に悪用される前に脆弱性を発見できます。この先回りの手法により、組織は自社のインフラ全体(エージェント型AIによって稼働する領域を含む)をモデル化し、可能な攻撃経路を特定できます。継続的な検証と改善を支援する働きがあり、弱点が事前に把握され、適切な対策が講じられる環境が整います。
スレットインテリジェンスとアトリビューションの強化
「バイブコード」型キャンペーンや偽旗作戦への対抗を図るには、戦術・技術・手順(TTPs)や侵害指標(IoCs)の単純な照合に依存しないアトリビューション手法が求められます。Diamond Model of Intrusion Analysisのような構造化された脅威インテリジェンスモデルの活用が必要になります。バイブコード型キャンペーンを検出するには、技術的な痕跡だけでなく、攻撃者の意図や目的に基づいた攻撃のクラスタリングが求められます。進化を続けるAI主導の脅威に対応するため、既存のコントロールには文脈を理解する検知エンジンや自動化されたインシデント対応を追加し、正当な活動と模倣や誤認された攻撃とを区別できるようにする必要があります。
責任ある情報公開の推進
セキュリティブログや技術レポートの公開と、AIによるコード生成ツールの普及が重なることで、攻撃者の技術的な参入障壁が下がっています。研究者がTTPsを公開すると、十分な経験や専門知識を持たない人物でも悪用可能な「手順書」を提供してしまう事態にもつながります。この状況を踏まえ、セキュリティチームは、詳細なレポートがLLMsに悪用される可能性を考慮しつつ、スレット(脅威)インテリジェンスを社会と共有するためのバランスを取った発信方法を継続的に採用する必要があります。
参考記事:
Redefining Enterprise Defense in the Era of AI-Led Cyberattacks
By: Trend Micro
翻訳:与那城 務(Platform Marketing, Trend Micro™ Research)