チャットAI「Claude」の開発元であるAnthropicが「AIエージェントを用いたスパイ活動を検知し、阻止した」とする報告書を2025年11月14日に公開しました。報告書には中国政府と関係のある攻撃者がAnthropic製AIツールを用いてテクノロジー企業や政府に対する攻撃を実施していたと記されています。

Disrupting the first reported AI-orchestrated cyber espionage campaign \ Anthropic
https://www.anthropic.com/news/disrupting-AI-espionage

報告書によると、2025年9月中旬からClaude Codeを用いたスパイ活動を検知したとのこと。攻撃者は大手テクノロジー企業や金融機関、化学企業、政府機関を含む世界中の約30の標的を対象に内部への侵入を試みており、少数のケースで侵入に成功していたとされています。また、Anthropicは攻撃者について「中国政府が支援する脅威アクターであると高い確度で判断した」と述べています。

攻撃フローは以下の通り。最初に人間が攻撃対象を選んだ後、Claude Codeを用いて「攻撃フレームワークを開発する」「標的のシステムを調査して最も攻撃価値の高い情報を特定する」「独自のエクスプロイトコードを作成しテストする」「最高権限のアカウントを特定する」「バックドアを作成して情報を盗み出す」「盗み出した情報に関する分析レポートを作製する」という工作活動を実行していました。この際、攻撃者は自身をセキュリティ企業の従業員だと偽り、Claude Codeに「サイバー攻撃に対する防御テストを実行している」と認識させることで既存の不正行為検出システムを通過していました。

Anthropicは攻撃を検知した後、攻撃者のアカウントを停止し、影響を受けた組織に通知を送付して規制当局とも連携を取ったとのこと。Anthropicは一連の攻撃について「今回の攻撃では、1年前には存在していなかったか初期状態にあった『複雑な指示に従える知能』『自動的にアクションを実行するエージェント機能』『MCPサーバーを用いた外部ツール使用機能』といった機能が悪用された」と述べています。

上記の通り、Anthropicは自社製ツールが中国政府系ハッカーのスパイ活動に悪用されたと主張していますが、セキュリティ専門家のdjnn氏は「サイバー攻撃に関するレポートでは攻撃キャンペーンに関係するドメイン名や、実際に使われたマルウェアの検体に紐付いたハッシュ値などが公開されるのが一般的です。しかし、Anthropicの報告書にはこれらの情報が記されておらず、検証可能な情報がまったく含まれていません」と述べ、Anthropicの報告書の信ぴょう性に疑問を呈しています。また、ニュース共有サイトのHacker Newsには「Anthropicの報告書は、自社の製品が中国政府系ハッカーのスパイ活動に使われるほど高性能であることを示すマーケティング戦略に見える」という意見も投稿されています。

なお、Anthropicの報告書の全文は以下のリンク先で閲覧できます。

Full report: Disrupting the first reported AI-orchestrated cyber espionage campaign
(PDFファイル)https://assets.anthropic.com/m/ec212e6566a0d47/original/Disrupting-the-first-reported-AI-orchestrated-cyber-espionage-campaign.pdf