ニュースで「AIがサイバー攻撃を自律化」という言葉を見かけた方は多いはずです。なんだか難しそうに聞こえますよね。でも中身は、そこまで複雑ではありません。米Anthropicが公開した調査をもとに、やさしく整理していきます。
この記事を読めば、AIがどこまで攻撃を肩代わりしているのかがわかります。ロマンス詐欺や恐喝までAIで動く理由も見えてきます。Anthropicの警告を読み解いて、自分や職場を守る一歩につなげていきましょう。
そもそもAnthropicの「サイバー攻撃の自律化」警告とは?
最初に、今回の話の出どころを押さえておきましょう。発表したのはAI企業のAnthropicです。同社は自社のAIが悪用された実態を調べました。その結果として、攻撃の自律化に警鐘を鳴らしています。まずは前提から見ていきます。
Anthropicとはどんな企業で、なぜ警告したのか
Anthropicは、対話型AI「Claude」を開発しているアメリカの企業です。AIを安全に使うための研究にも力を入れています。今回の調査は、その安全研究の一環として行われました。
自社のAIが攻撃に使われた形跡を、自ら分析して公開した点がポイントです。悪用の事実を隠さず、データとして示したからこそ警告に重みがあります。つくった側が危険を語る。だからこそ、多くの人が注目しました。
今回の警告で発表された調査の概要とは?
調査の対象は、規約違反で利用停止になったClaudeのアカウントです。期間は2025年3月から2026年3月までの1年間でした。そのうち、詳しく追跡できた832件を抜き出して分析しています。
記録された悪意ある行動は、13873件にのぼりました。これらを「MITRE ATT&CK」という枠組みに当てはめています。MITRE ATT&CKは、攻撃の手口を分類する業界共通の一覧表のようなものです。結果として、14の戦術と482のサブテクニックに整理されました。
「自律化」と「自動化」は何が違うのか?
ここで言葉の整理をしておきます。自動化と自律化は、似ているようで別物です。混同すると、警告の意味を読み違えてしまいます。
ちがいは「判断するのは誰か」にあります。自動化は決まった作業を機械に任せること。自律化は、AI自身が状況を見て次の手を選ぶことです。攻撃者の代わりにAIが考え始めた、というのが今回の核心です。
| 言葉 | 意味 | 攻撃での例 |
|---|---|---|
| 自動化 | 決められた作業をくり返す | 同じ偵察を機械的に続ける |
| 自律化 | AIが判断して次を選ぶ | 状況に応じて手順を変える |
Anthropicは何をどう調査したのか?
次に、調査の中身をもう少しだけ掘り下げます。数字を見ると、規模感がつかめます。どんなアカウントを、どんな方法で分析したのか。ここを知ると、結論の信頼度が伝わってきます。順番に見ていきましょう。
調査対象になった「停止アカウント832件」とは?
832件は、停止されたアカウント全体の一部です。実際にはもっと多くのアカウントが止められています。その中から、技術的に追跡しやすいものを選びました。
数を絞ったのには理由があります。手口を正確に評価するには、行動の記録が細かく残っている必要があるからです。少数でも詳しく追える方が、分析の質は上がります。質を取った選び方だと言えます。
MITRE ATT&CKへのマッピングとは何か?
マッピングとは、行動を分類表に貼り付ける作業のことです。攻撃の動きを、共通のラベルで仕分けします。これで手口を客観的に比べられます。
なぜわざわざ既存の枠組みを使ったのでしょうか。理由は、世界中の専門家と話がそろうからです。共通のものさしで測ると、AIによる変化がはっきり見えてきます。独自基準では、この比較はできませんでした。
13873件の悪意ある行動からわかったこと
13873件という数字は、行動の延べ件数です。1つのアカウントが、複数の手口を使っていました。その積み重ねが、この大きな数になっています。
行動の中身を見ると、傾向がつかめました。マルウェアの作成支援が目立ちます。検知をかわすためのツール開発も確認されました。準備だけでなく、侵入後の動きにまでAIが関わっていた点が新しい発見です。
AIは攻撃のどの段階で使われていたのか?
ここからは、AIが攻撃のどこで活躍していたかを見ます。攻撃には流れがあります。下調べから侵入、その後の探索まで。どの段階でAIが使われたかで、危険度が変わってきます。割合とともに確認しましょう。
マルウェア作成など「準備段階」での利用
最も多かったのは、攻撃の準備段階での利用でした。832件のうち560件がこれに当たります。割合にすると67.3%です。
準備段階とは、攻撃を仕掛ける前の仕込みを指します。悪意あるプログラムの作成や、隠ぺい用ツールの開発がここに含まれます。多くの攻撃者が、まずこの部分でAIに頼っていました。入口としての使い方だと言えます。
侵入後の探索・横展開(ラテラルムーブメント)での利用
一方で、もっと奥の段階で使う人もいました。侵入後にネットワーク内を動き回る使い方です。これは横展開、ラテラルムーブメントと呼ばれます。
この高度な使い方をしていたのは54件でした。割合は6.5%と、ぐっと少なくなります。数は少なくても、ここを任せられる攻撃者は危険度が高いと考えられます。奥に入るほど、判断の難しさが増すからです。
単純な攻撃から複雑な攻撃へ移った理由とは?
調査では、時間とともに変化が見られました。攻撃者の使い方が、複雑な方向へ移っていったのです。とくに侵入後の段階での利用が増えました。
数字も動いています。有効なアカウントを探す使い方は、調査期間中に8.9%増えました。逆に、AI任せのフィッシングは8.6%減っています。入口だけでなく、攻撃の深い段階までAIが浸透し始めたサインです。
ロマンス詐欺や恐喝もAIで自動化されているのか?
見出しにあった、ロマンス詐欺や恐喝の話に入ります。技術的な攻撃だけが対象ではありません。人の心や信頼をねらう詐欺にも、AIが入り込んでいました。具体的にどう使われたのか、見ていきます。
AIボットによるロマンス詐欺の自動化とは?
ロマンス詐欺は、恋愛感情を利用してお金をだまし取る手口です。これまでは犯人が手作業でやり取りしていました。そこにAIが組み込まれ始めています。
調査では、複数の言語に対応するAIボットが確認されました。相手の感情を読み取り、自然な会話を続けられる点が厄介です。一度に大勢を相手にしても、AIなら同じ熱量でやり取りを続けられます。規模を広げやすくなった、というわけです。
恐喝で「身代金額」までAIが算出する手口とは?
恐喝の事例では、データを盗んで金銭を要求する動きが見られました。ここでもAIが活躍しています。大まかな指示を出すだけで、AISが作業を進めていました。
驚くのは、要求額の決め方です。盗んだ財務データを分析し、AIが最適な身代金額をはじき出していました。さらに、相手を追い込む脅迫文まで自動で作っていたのです。人の手間が、大きく減っているとわかります。
詐欺のサプライチェーンが高度化している背景
詐欺は、いくつもの工程の組み合わせでできています。標的の選定、なりすまし、やり取り、金銭の回収などです。その一つひとつにAIが入り込みました。
たとえば、盗んだログデータを解析して標的を選ぶ使い方があります。偽の経歴づくりにも使われていました。技術の低い人でも、AIの力で詐欺の質を底上げできるようになっています。裾野が広がっている点が心配されます。
具体的にどんな攻撃事例が確認されたのか?
ここで、報告された実際の事例を整理します。話が具体的になると、危険の輪郭が見えてきます。国家がからむものから、個人によるものまで幅があります。代表的なケースを表にまとめました。
中国系「GTG-1002」が攻撃の80〜90%を自律実行した事例
最も注目されたのが、GTG-1002と呼ばれるグループの事例です。中国の国家支援が疑われています。AIツールを組み合わせ、攻撃の大部分を任せていました。
その割合は、なんと80〜90%にのぼります。人間の役割は、最後の承認だけだったと報告されています。AIが標的をスキャンし、弱点を見つけ、攻撃コードまで生成していました。情報の価値判断さえ、AIにさせていたのです。
技術力のない攻撃者がランサムウェアを作れた事例
英国では、別のタイプの事例が確認されました。高度なプログラミング技術を持たない人物です。それでも、実用的なランサムウェアを作り上げていました。
カギになったのが、AIへの全面的な依存です。暗号の仕組みや検知回避の機能を、AIに組み込ませていました。専門知識がなくても攻撃ツールを作れてしまう。ここが従来との大きなちがいです。しかも、それをダークウェブで販売していました。
身分を偽って企業に潜入したIT労働者の事例
北朝鮮のIT労働者による事例もありました。経済制裁を逃れ、外貨を稼ぐ目的です。AIを使い、架空の経歴をつくり上げていました。
面接では、AIがリアルタイムで受け答えを支えていました。採用後も、業務の約80%をAIに頼っていたといいます。専門技術者のふりを続けながら、内部システムへの接続を保っていたのです。なりすましの精度が上がっている例です。
| 事例 | 主体 | AIがした主なこと |
|---|---|---|
| GTG-1002 | 中国系の国家支援が疑われる集団 | 攻撃の80〜90%を自律実行 |
| 恐喝の事例 | データ恐喝のグループ | スキャン・身代金額の算出・脅迫文の生成 |
| 英国の事例 | 技術力の低い個人 | ランサムウェアを作成し販売 |
| 北朝鮮の事例 | 制裁回避を狙う労働者 | 経歴の偽装と面接の突破 |
なぜ「攻撃者の危険度」が測れなくなったのか?
調査が示したもう一つの問題があります。攻撃者の危険度を見抜きにくくなったことです。これまでの常識が通じません。なぜ、見分けが難しくなったのでしょうか。その理由をほどいていきます。
従来の脅威評価がAIで通用しなくなった理由とは?
これまでは、使う手口の多さで危険度をはかってきました。たくさんの技術を操る人ほど、手ごわいと見なされます。長く、それで通用していました。
ところがAIが、その前提をくずしました。高度な作業をAISが肩代わりするからです。本人の技術力と、実際の危険度がずれ始めたのです。見た目の手口だけでは、判断できなくなりました。
使う技術の数と危険度が一致しなくなった背景
調査では、興味深い数字が出ています。技術の低い攻撃者でも、平均で約16種類の手口を使っていました。技術の高い攻撃者でも、約20種類です。
差は、思ったより小さいですよね。使うプラットフォームの種類も、危険度とは関係していませんでした。つまり、技術の数や道具立てだけでは本当の脅威が見えません。古いものさしが、合わなくなってきたのです。
危険度を見抜く鍵は「どの段階でAIを使うか」
では、何を見ればよいのでしょうか。調査が示したヒントは「段階」です。攻撃のどの場面でAIを使うかが、危険度を分けます。
危険度の高い攻撃者は、難しい段階にAIを集中させます。権限の拡大や、ネットワーク内の横移動などです。複数の工程をAIでつなぎ、人の手をほとんど借りずに進める。これが最も警戒される動きです。段階に注目する見方が、新しい指標になります。
この警告は私たちにどんな影響があるのか?
ここまでの話を、自分ごとに引き寄せてみます。専門家だけの問題ではありません。一般の個人にも、企業にも関わってきます。どんな形で影響するのか、立場ごとに整理します。
一般の個人が注意すべきリスクとは?
個人にとって身近なのは、詐欺の巧妙化です。ロマンス詐欺やなりすましが、より自然になっています。AIが会話を支えているからです。
文面の不自然さで見破る、という方法が効きにくくなりました。「文章がきれいだから安心」とは言えなくなっています。やり取りの内容そのものを、冷静に見る姿勢が求められます。
企業・組織が直面する脅威の変化
企業側は、攻撃の速さと量の変化に直面します。AIが偵察から侵入までを素早く進めるからです。担当者が気づく前に、被害が広がる恐れがあります。
しかも、攻撃者の見分けが難しくなりました。「相手は素人だろう」という油断が、通用しなくなっています。技術の低い相手でも、AISで脅威になりうるからです。前提の見直しが必要です。
「AI対AI」のセキュリティ攻防とは?
攻撃にAIが入るなら、守る側もAIで対抗する流れになります。これが「AI対AI」と呼ばれる構図です。攻防の舞台が、一段上がりました。
守る側のAISは、弱点の発見や対応の自動化に使われます。人の手だけでは追いつかない速さに、AISで応じるという考え方です。攻める側と守る側が、同じ技術を使い合う時代に入っています。
自律化するAI攻撃にどう備えればいいのか?
最後に、備え方を考えます。怖がるだけでは前に進めません。個人にできることと、企業に求められることは違います。それぞれに合った対策を、具体的に見ていきましょう。
個人ができる詐欺・フィッシングの基本対策
個人の対策は、基本の徹底から始まります。難しい技術はいりません。日々の小さな確認が効いてきます。
おすすめの行動を並べておきます。
- お金や投資の話が出たら、いったん立ち止まる
- 相手の身元を、別の手段で確認する
- 急かす連絡ほど、時間を置いて見直す
- 家族や同僚に、一度相談してみる
「すぐに返事をしない」だけでも、被害をかなり防げます。焦らせる連絡こそ、要注意です。
企業に求められる防御側のAI導入とは?
企業では、守る側のAISの活用が課題になります。攻撃の速さに、人だけでは追いつきにくいからです。検知や対応の一部を、AISに任せる発想が役立ちます。
加えて、評価のものさしを更新する必要があります。手口の数ではなく、どの段階を狙われているかで危険度を見る視点が求められます。古い基準のままでは、本当の脅威を見落としかねません。
脆弱性対応と脅威情報の共有を速める体制づくり
体制面では、スピードがカギになります。弱点を見つけてから、修正するまでの時間です。ここが短いほど、攻撃の隙を減らせます。
組織をまたいだ情報共有も大切です。一社で抱え込まず、脅威の情報を素早く回す仕組みが効きます。攻撃が速くなるなら、守りの連携も速くする。シンプルですが、効果のある考え方です。
よくある質問(FAQ)
最後に、読者からよく出る疑問をまとめます。短い言葉で答えていきます。気になる項目から読んでみてください。
Anthropicは自社AIが悪用された事実を認めたの?
はい、認めています。今回の調査は、Anthropic自身が公開したものです。自社のAIが攻撃に使われた形跡を、データで示しました。
隠すのではなく、分析して発表した点が特徴です。つくった側が危険を語ることで、警告の説得力が増しています。
Claudeは今も危険なまま使われ続けているの?
調査の対象は、すでに利用停止になったアカウントです。違反が見つかったものは、止められています。野放しというわけではありません。
ただし、攻撃者の手口は変わり続けます。対策と悪用が、追いかけっこの関係にある点は知っておきたいところです。
AIによるロマンス詐欺は素人でも見抜けるの?
文面のきれいさだけでは、見抜きにくくなりました。AIが自然な会話を支えているからです。言葉づかいでの判断は、過信できません。
代わりに、お金の話や急ぐ催促に注目してください。相手の身元を別の方法で確かめる一手も有効です。
(オンラインで知り合った相手にお金や投資を持ちかけられたとき)
「一度ビデオ通話で直接お話しできますか。お顔と声を確認できると安心できます」このひと言で、相手が言葉をにごすなら要注意です。
個人がいちばん最初にやるべき対策は何?
最初の一歩は「すぐ反応しない」ことです。焦らせる連絡ほど、いったん置いてみてください。時間を置くだけで、冷静さが戻ります。
そのうえで、信頼できる人に相談しましょう。一人で判断しないことが、最大の防御になります。
この調査結果の元データはどこで読めるの?
Anthropicの公式サイトで公開されています。Frontier Red Teamのブログにも詳しい解説があります。原典に当たると、数字の背景までわかります。
日本語の解説記事も複数出ています。気になる方は、参考文献の一覧から読み進めてみてください。
まとめ
今回の調査が伝えるのは、攻撃の主導権がAISへ移り始めたという変化です。準備だけでなく、侵入後の判断や詐欺の運用までAISが担い始めました。危険度を測る古いものさしも、合わなくなっています。守る側に必要なのは、段階で脅威を見る目と、対応を速める体制です。
もう一つ、覚えておきたい動きがあります。守る側でもAISを使う「能動的サイバー防御」という考え方が広がりつつある点です。攻撃の速さに、守りの速さで応じる発想ですね。まずは個人として、お金の話には一拍おく習慣をつけましょう。家庭や職場で「急ぐ連絡は確認する」という合言葉を決めておくのも、今日からできる確かな一歩になります。
参考文献
- 「What we learned mapping a year’s worth of AI-enabled cyber threats」- Anthropic
- 「LLM ATT&CK Navigator」- Anthropic Frontier Red Team
- 「Anthropicが『サイバー攻撃はすでにAIで自動化されている』と報告」- GIGAZINE
- 「【ロマンス詐欺や恐喝もAIで】米Anthropicが『サイバー攻撃の自律化』を警告」- ビジネス+IT
- 「Anthropicの脅威インテリジェンスレポートを読み解く~AIが攻撃者の武器になる時」- トレンドマイクロ