出所:Steven Liveoak via Alamy Stock Photo
更新
小規模で名前の知られていないハッカーグループが、今年初めに歴史上初めて本当の意味で人工知能によって指揮されたサイバー攻撃を成功させ、その過程でメキシコ政府から大量のデータを盗みました。しかし、このチャレンジング好きな悪党たちがITからOTシステムへのギャップを埋めようとした時、AIは成功しませんでした。
2025年12月から2026年2月にかけて、謎のハッカーはGambit Securityによると、メキシコ政府の少なくとも9つの機関を標的にしました。これには連邦税務当局(Servicio de Administración Tributaria)、国家選挙研究所、メキシコシティ市民登録局、および複数の州政府が含まれます。しかし、どのようにして国家と無関係で既知の高度な永続的脅威(APT)グループとも関連のないわずかな人数のグループが、これほど多くの重要な組織を攻撃できたのでしょうか?
もちろん、AIを使ってです。
彼らは以前のほぼすべてのグループよりもClaudeコードに大きく依存していました。大規模言語モデル(LLM)に研究を助けさせたり、マルウェアやフィッシングコンテンツを書かせたりするだけでなく、ここ数年一般的な手法を超えて、これらのハッカーはAIに鍵を渡し、攻撃全体を指揮させました。これは本当の意味で「AI駆動型」でした。Claudeは遭遇したシステムを悪用する各ステップを彼らをガイドしただけでなく、提案したステップを実行するために必要な重大な悪用フレームワークを一から書きました。スキーム全体が、ガードレールをバイパスするためのわずかなジェイルブレク試みのみで機能しました。彼らは結局、数百万の税務記録、財産記録などへのアクセスを手に入れました。
Dragosからの新しいレポートは、キャンペーンのユニークなエピソードをまとめています。悪者たちが技術的に異なるタイプのターゲットに到達した時のものです。それはメキシコ北東部のモンテレイ市の上水道と下水道施設です。国家政府を暴れ回った後、彼らの進捗は突然停滞しました。AIの驚異で支援されていても、彼らはITネットワークアクセスをOTネットワークアクセスに転換できませんでした。彼らは表面的な戦利品だけを持ち去り、深刻な被害を与えませんでした。
IT-OT(非)コンバージェンス
ハッカーはまず盗まれた認証情報を使用して、Webポータルを通じて施設の情報ネットワークに入りました。フットホールドを確立してから、彼らはAIに状況の把握を求めました。
Claudeは見回り、結果を返してきました。特に、vNodeと呼ばれるゲートウェイをホストしているサーバを指摘する自由を取りました。vNodeと同様の産業用ゲートウェイは、機微な運用ネットワーク(機微な操作が貴重で危険な機械を制御する)をエンタープライズITネットワーク(従業員が機械を監視するが、メールを送信してTikTokをスクロールすることもできる)に接続します。ロボットが提案した彼らの攻撃の「最も有望な次のステップ」は、Webインターフェース経由でそのゲートウェイを攻撃することでした。実行すれば「巨大な影響」の可能性がありました。
vNodeはデフォルトで双方向でもよいのですが、注意深いOT事業者にとって、データダイオードモジュールを提供しており、データはOTネットワークからITへの一方向のみに移動でき、逆方向ではありません。
データダイオードを隠していないと仮定して、Claudeはハッカーが認証に使用されるWebインターフェースを識別するのを助け、ログイン試行でそれをスプレーすることを提案しました。ベンダーのドキュメントと他の公開リソースを調査して、成功する可能性が比較的高いログインコンボのリストを生成しました。例えば、デフォルト認証情報とキャンペーンの早い段階で他の政府システムから取得した認証情報です。
Claudeはパスワードスプレーの1ラウンドを指揮しました。運がありませんでした。もう一度試しました。それでも何もありませんでした。その後、それは諦めました。OTネットワークアクセスの代わりに、「うまくいかなかったこと(よく保護されたインフラストラクチャ)」というタイトルのイベント概要をハッカーに提供しました。ハッカーはITネットワークから盗まれた調達および仕入先記録など、相対的にわずかな戦利品を持って施設を出ました。
AIはサイバー攻撃にどの程度対応できるか?今わかります
悪意のあるアンダーグラウンドが適切にAIで指揮されたサイバー攻撃キャンペーンを実行するまでにほぼ正確に3年かかりました。
2022年12月から2025年12月の間に、脅威行為者は商用AIツールと安いコピー品を使用して、研究と標的化を行いました。彼らはChatGPTを使用してマルウェアを生成し、フィッシング試行を支援しました。「AI駆動型」のような用語がその3年間にサイバー攻撃を説明するために使用されていた場合、それは漠然と使用されていました。
メキシコで起きたことは、すべての説明によれば、脅威行為者が指揮しなかった2番目に記録された成功し、重要なキャンペーンです。その秋早くの中国のキャンペーンに続くものです。これはAIが自分たちでそれを行うには才能が不十分なハッカーのために何ができるかを示していました。
「その攻撃は『かなり印象的ですが、大規模言語モデル(LLM)ができることには上限がある』と、そのレポートの著者Eyal Selaは述べています。この場合のハッカーが政府機関のデータベースをうまく通り抜けながら、ゲートウェイログイン画面で困惑しただけというのは、Selaのポイントの完璧な画像です。『タスクを与えると、彼らは現在かなり遠くまで行くことができますが、いかなる問題も解決できません。AIは専門家が解く方法を知らない問題を解決しません。そしてMythosでも、私はそうだと賭けます』とSelaは述べています。
Dragos準主任敵対者ハンターJay Deenは、「AIは成熟したセキュリティコントロールをバイパスするのではなく、既存のIT弱点を特定して活用するために必要な時間、努力、専門知識を主に削減した」と述べています。
それに続いて、勤勉なサイバーセキュリティ衛生は、それ自体でも、AI駆動型攻撃に対する重要な防堡です。「このケースで観察された活動は、ネットワークセグメンテーション、セキュアなリモートアクセス、アセット可視性、OTネットワーク内での監視など、ネットワーク周辺の基本的なOTセキュリティコントロールの重要性を強調している」とDeenは述べています。
このポストは2026年5月13日午後10時(ET)に更新されました:この記事の初版はメキシコのキャンペーンが「世界初のAI駆動型」サイバーキャンペーンであると述べていましたが、Anthropicによって昨年の秋初めに同様のキャンペーンが中国の脅威行為者によって報告されており、世界初であるという主張は定量化が困難であることを認識しています。
最新のDark Reading Confidentialポッドキャストをお見逃しなく、 USBペネトレーションテストの物語がどのようにバイラルになったか。20年前、Dark Readingは最初のブロックバスター記事を投稿しました。ペネトレーションテストスペシャリストが信用組合の駐車場に改ざんされたUSBドライブを散らし、好奇心旺盛な従業員に任せたというコラムです。このエピソードは、その著者Steve Stasiukonisとともに歴史的記事を振り返ります。 今すぐ聴く!
