米人工知能(AI)企業Anthropicは、自社の生成AI「Claude」がハッカーによって悪用され、サイバー攻撃や詐欺に利用されたことを公表しました。同社によると、この技術は「大規模な個人情報の窃取や恐喝」に用いられ、政府機関を含む少なくとも17の組織が標的となったとしています。
AIによるサイバー攻撃の高度化
Anthropicは、Claudeがハッカーに利用され「これまでに例を見ない規模」で攻撃を可能にしたと説明しました。AIは単に攻撃用コードを書く支援にとどまらず、以下のような戦術的・戦略的判断にも使われていたといいます。
- どのデータを優先的に盗み出すかの決定
- 心理的にターゲットを追い詰める恐喝メッセージの作成
- 要求する身代金額の算定
従来は熟練した攻撃者が時間をかけて行っていた作業が、AIの利用により短時間で可能になった点が特に警戒されています。専門家は「脆弱性が突かれるまでの時間が急速に短縮されている」と警鐘を鳴らしており、今後は「被害後の対応」ではなく「事前の検知と予防」が重要になると強調しています。
「バイブ・ハッキング」とは
今回Anthropicが指摘した新しい手口のひとつが「バイブ・ハッキング(vibe hacking)」です。これは、AIを活用して複数のシステムに同時侵入するためのコードを生成させるもので、政府機関を含む17の組織が標的になったといいます。
北朝鮮によるリモート就労詐欺
さらにAnthropicは、北朝鮮の工作員がClaudeを利用して米国の大手企業にリモートワークで潜入しようとした事例も発見したと発表しました。具体的には、
- AIを用いて就職応募書類や職務経歴書を作成
- 採用後にはAIを利用して業務用のコードを書いたりメッセージを翻訳
といった形で、文化的・技術的な隔たりを乗り越えて不正に雇用されようとしたといいます。これにより、企業は意図せず国際制裁に違反し、北朝鮮に資金を提供するリスクを抱えることになります。
リスクと現実
一方で、すべての攻撃がAIによって新たに生み出されているわけではありません。専門家によれば、多くのランサムウェア攻撃はいまだに「フィッシングメール」や「既知のソフトウェア脆弱性の悪用」といった従来型の手口に依存しています。
しかし、AIはこうした既存の手口をより効率的かつ大規模に展開できる「加速装置」として機能する可能性が高く、組織にとって新たな脅威となり得ます。
企業に求められる対応
サイバーセキュリティの専門家は、AI時代において以下のような対応が必要だと指摘しています。
- AIモデルや生成データを「機密情報」と同様に保護対象とする
- システムの常時監視と不審な挙動の早期検知
- 二要素認証やゼロトラストモデルの導入
- 社員へのフィッシング・ソーシャルエンジニアリング教育
Anthropicは今回の攻撃者を特定し、法執行機関と連携して活動を阻止したと発表。今後も検知ツールを強化するとしています。
まとめ
今回の事例は、AIが単なる支援ツールを超え「攻撃者の頭脳」として利用され得ることを示しています。サイバー攻撃のスピードと規模が増す中で、企業や政府は従来以上に迅速かつ積極的なセキュリティ対策を迫られています。
コメント