中国のサイバースパイはAnthropic社のClaude Code AIツールを使い、約30の著名企業や政府機関へのデジタル侵入を試みました。そして、政府支援を受けたスパイたちは「少数のケースで成功した」と、AI企業が木曜日に発表したレポートで述べています。
9月中旬の作戦では、大手テクノロジー企業、金融機関、化学メーカー、政府機関が標的となりました。
脅威アクターは、Claudeに攻撃チェーンの個々の要素を実行させることに成功しました
標的の選定は人間が行いましたが、「これはエージェント型AIが情報収集のために主要なテクノロジー企業や政府機関など、確認された高価値標的へのアクセスを実際に取得した初めての記録的事例です」と、Anthropicの脅威ハンターたちは13ページの文書 [PDF]で記しています。
また、攻撃者が攻撃作戦の実行にAIを使い続けていることのさらなる証拠でもあります。この事件は、潤沢な資金を持つ国家支援グループが攻撃の自動化をより巧みに進めていることも示唆しています。
AIベンダーは、このスパイ活動の背後にいる中国の国家支援グループをGTG-1002と特定し、彼らの工作員がClaude CodeとModel Context Protocol(MCP)を使い、人間が戦術的実行に関与しない形で攻撃を行ったと述べています。
人間が開発したフレームワークは、Claudeを使って多段階の攻撃を指揮し、その後、複数のClaudeサブエージェントがそれぞれ特定のタスクを実行しました。これらの作業には、攻撃対象面のマッピング、組織インフラのスキャン、脆弱性の発見、エクスプロイト技術の調査などが含まれていました。
サブエージェントがエクスプロイトチェーンやカスタムペイロードを作成した後、人間のオペレーターがAIの行動結果を2分から10分かけて確認し、その後の攻撃実行を承認しました。
その後、サブエージェントは認証情報の発見と検証、権限昇格、ネットワーク内の横移動、そして機密データへのアクセスおよび窃取に取りかかりました。攻撃後の段階では、人間のオペレーターがAIの作業を再度確認し、最終的なデータ流出を承認するだけで済みました。
「これらのタスクを、巧妙に作成されたプロンプトと確立されたペルソナを通じて、Claudeに日常的な技術リクエストとして提示することで、脅威アクターはClaudeに広範な悪意ある文脈へのアクセスなしに、攻撃チェーンの個々の要素を実行させることができました」とレポートは述べています。
攻撃を発見したAnthropicは、関連アカウントの停止、作戦全体の範囲の特定、被害組織への通知、法執行機関との連携などの調査を開始したと述べています。
これらの攻撃は、同社が8月に発表した、Claudeが使われたデータ恐喝作戦(17組織が被害、身代金要求額は7万5,000ドルから50万ドル)を記録したレポートから「大きなエスカレーション」を示しています。しかし、その攻撃では「人間が作戦の指揮にしっかり関与していた」とされています。
「私たちはこれらの能力が進化し続けると予測していましたが、特に注目すべきは、その進化がいかに迅速かつ大規模に進んでいるかという点です」とAnthropicの新たな分析は述べています。
しかし、わずかな救いとして、Claudeは攻撃中に幻覚を起こし、証拠以上に良い結果を出したと主張していました。
AIは「自律的な作業中にしばしば発見を誇張し、時にはデータを捏造した」ため、人間のオペレーターがすべての発見を検証する必要がありました。これらの幻覚には、Claudeが認証情報を取得したと主張したものの実際には機能しなかったり、重要な発見だとしたものが実は公開情報だったりするケースが含まれます。
Anthropicは、こうした誤りが「完全自律型サイバー攻撃への障害」であると主張しています――少なくとも現時点では。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/13/chinese_spies_claude_attacks/
