Anthropicが不可避を検知：人間を介さないgenAI専用攻撃

Anthropicが水曜日に発表したレポートでは、人間の攻撃者がAIツールを補助として使うのではなく、完全に人間を介さずに行われるgenAI攻撃について詳述されており、多くのCISOが長らく予想していた事態が現実となったことを示している。

しかしこれは、人間による攻撃から検出可能なパターンが無意味になるため、AI専用攻撃への備えを加速させる必要があることを示している。

「攻撃グループが『ソロプレナー』やごく少数の従業員でこのレベルの攻撃を実行できるようになると、国家間の政治的制約や追跡の可能性に縛られない攻撃者が、より大胆に大規模な被害を与えるようになり、これまでにない規模でランサムウェア攻撃の件数を対数的に増加させることができる」と、Rob Lee（SANS Instituteリサーチ部門責任者）は述べている。

別のサイバーセキュリティコンサルタントであり、現在は元政府・軍関係者の専門家ディレクトリ「FormerGov」のエグゼクティブディレクターを務める元連邦検察官のBrian Levine氏は、この種の攻撃を阻止できる機会の窓があると指摘する。

「AIがサイバー攻撃を促進するのに効果的だが、その痕跡や背後にいる人物の身元を隠すことにはまだそれほど注力していない、という期間があると思います。それは短いかもしれませんが、その事実を利用して、AIに全面的に頼っている素人たちを摘発するチャンスになるかもしれません」とLevine氏は述べている。

Levine氏はまた、攻撃者にも一般的な労働市場の現象が及ぶと見ている。「犯罪の世界も合法的なビジネスの世界を引き続き模倣しています。犯罪者も犯罪の仕事から解雇されることになるでしょう」と彼は語る。「これまで攻撃グループには多くの専門分化がありました。コードを書く人、暗号化担当、アンチウイルス対策担当、カード番号の正当性確認担当、資金洗浄担当など、多くの専門的な役割がありました。そうした人たちはどうなるのでしょうか？」

AIが攻撃者を置き換えている

Anthropicのレポートによると、同社はgenAIツールがサイバー攻撃者を支援するだけでなく、彼ら自体を置き換え始めている証拠を増やしているという。

「サイバー犯罪者がClaude Codeを使い、短期間で複数の国際的な標的に対して大規模なデータ恐喝作戦を実施しました。この脅威アクターはClaudeのコード実行環境を活用し、偵察、認証情報の収集、ネットワーク侵入を自動化し、過去1か月だけで政府、医療、緊急サービス、宗教団体など少なくとも17の組織に影響を与えた可能性があります」とレポートは述べている。

さらに、「この作戦は、AIが技術コンサルタントと実際のオペレーターの両方として機能し、個々の攻撃者が手作業で実行するには困難かつ時間のかかる攻撃を可能にするという、AI支援サイバー犯罪の懸念すべき進化を示しています。セキュリティ研究者が『vibe hacking』と呼ぶこのアプローチは、サイバー犯罪者がオペレーションを拡大する方法に根本的な変化をもたらします。このアクターは、攻撃ライフサイクル全体にわたりAIを前例のない形で統合し、Claude Codeが偵察、エクスプロイト、ラテラルムーブメント、データ流出を支援しました」と付け加えている。

Anthropicだけがこうした発見をしているわけではなく、セキュリティ企業ESETも、Anthropicが調査結果を発表する前日に、あるランサムウェアの分析で同様の進展を報告している。

Phil Brunkard氏（Info-Tech Research Group UKのエグゼクティブカウンセラー）はAnthropicのレポートに同意するが、むしろレポートで見つからなかったことの方を懸念していると述べている。

「私たちが見えていない活動が実際には多く存在する可能性があります。Anthropicが自社プラットフォームが悪用されたことを公表したのは重要であり、OpenAIも最近同様の発表をしました。しかし、他の企業は既に起きているであろうことについて公表するのでしょうか？」とBrunkard氏は問いかける。「あるいは、まだ効果的な管理策がないために公表していないのでしょうか？『大手AIベンダーは自社のコードが標的型サイバー犯罪に武器化されるのを防ぐために何をしているのか？』という問いに対する答えを知る必要があります。また、オープンソースモデルがさらにリスクを拡大していないかも懸念されます。」

さらに多くの懸念材料

これらのレポートは励みになるものの、Brunkard氏は、懸念すべき点はまだ多いと述べている。

「確かに、OpenAIとAnthropicは自社プラットフォームが悪用されたことを認め、悪意ある利用者の検出と排除に取り組んでいます。しかし、それは依然として受動的な対応です」と彼は言う。「本当の課題は、もっと上流に移ることです。ツールが攻撃の最初から最後まで実行できるほど強力であれば、それを誰が何のために使っているのかを把握する必要があります。」

CISOがこうしたAI専用攻撃に対して防御を強化するために何をすべきかという問いに対し、具体的な提案をする専門家はほとんどいなかった。

「ランタイムAI防御は、現代のAIツールで構築された攻撃者インフラの進化に歩調を合わせる必要があります」と、Will Townsend氏（Moor Insights & StrategyのVP/主席アナリスト）は述べている。「良いニュースは、多くのサイバーセキュリティソリューションプロバイダーが、自動化されたレッドチーミング、プロンプトインジェクション防止、入力検証、脅威インテリジェンス統合などの技術を取り入れ、防御を強化していることです。DNSセキュリティ制御も、将来的にAIを活用したマルウェアの配信に悪用される可能性のある疑わしいドメインを事前に特定できます。」

さらに別のMoor Insightsのアナリストは、企業CISOが最新の脅威に常に目を向けておくことの重要性を強調した。

「AIによって、犯罪者はスクリプトキディを超え、より拡張性の高いビジネスモデル（エージェンティック・サグウェア）に移行できます。量子セキュリティを心配する企業は、より緊急性の高いAI支援型ハッキングの脅威を無視すべきではありません」と、Bill Curtis氏（アナリスト・イン・レジデンス）は述べている。「ブラックハット対ホワイトハットAIギャング戦争の荒波から逃れる一つの戦術は、ミッションクリティカルなシステムをインターネットから切り離すことです。だからこそ、エアギャップされたデータセンターが重要なのです。今はまだ大きな問題ではありませんが、今後に注目してください。」