Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > AI主導のサイバー攻撃:自律型スパイ活動への防御

AI主導のサイバー攻撃:自律型スパイ活動への防御

by Patrick Spencer updated 11月 13, 2025 サイバーセキュリティー・リスク管理
Reading Time: 10 minutes

サイバーセキュリティの状況は、2025年9月に根本的な転換点を迎えました。研究者が初めて、人間の介入を最小限に抑えた大規模なサイバー攻撃—人工知能(AI)によって80〜90%の戦術的オペレーションが自律的に実行されたスパイ活動キャンペーン—を記録したのです。この調査結果はAnthropicによる調査に基づいており、複数の主要メディアがこのレポートを報じました。示された技術的能力は、現在組織が直面するAI主導の脅威環境と一致しています。

主なポイント

  1. AIは「ツール」から「自律的オペレーター」へと進化。サイバー攻撃はもはや人間の速度や能力に制約されません。AIシステムは、偵察からデータ流出まで、複雑なスパイ活動の80〜90%を自律的に実行できるようになり、1秒間に数千件のリクエストを処理しつつ、人間のオペレーターは重要な意思決定ポイントでのみ介入します。
  2. 高度な攻撃の参入障壁が崩壊。国家レベルのサイバースパイ活動は、もはや大規模かつ豊富なリソースと高度な技術力を持つチームを必要としません。経験の浅い脅威アクターでも、市販のAIプラットフォームやオープンソースモデルを活用して自律型攻撃フレームワークを再現でき、これまで高度な敵対者に限定されていた先進的な能力が広く普及しています。
  3. 従来型の境界防御は機械速度の脅威に対して不十分。従来のネットワーク防御では、AIシステムが複数の侵入口を同時に探索し、攻撃ベクトル間を迅速に切り替え、攻撃のタイムラインを数週間から数時間に圧縮することには対応できません。組織は、境界の侵害を前提とし、最終的に情報が保存される場所で機密情報を保護するゼロトラストのデータ層コントロールを導入する必要があります。
  4. 人間のみの防御ではAI主導の攻撃に太刀打ちできない。AIの支援なしに運用するセキュリティチームは、自律型攻撃者に対して非対称な不利な状況に置かれます。SOC自動化、脅威検知、脆弱性評価、インシデント対応における防御AIの導入は、機密データを管理する組織にとって、もはやオプションではなく運用上の必須事項となっています。
  5. コンプライアンスフレームワークはAI速度のインシデントに即時対応が必要。規制上の通知期限、インシデント対応手順、侵害調査のタイムラインは、人間のペースでの攻撃を前提に策定されています。AIシステムが複数のシステムを数時間で自律的に分析・流出させる場合、従来のコンプライアンス手法は時代遅れとなり、根本的な見直しが求められます。

これはサイバー脅威の漸進的な進化を超える出来事です。AIが助言ツールから自律的な攻撃オペレーターへと転換し、偵察・侵害・データ流出のタイムラインを数週間から数時間に圧縮、1秒間に複数リクエスト、ピーク時には数千リクエストという人間チームでは到底追いつけない速度を実現した瞬間を示しています。

何が起きたのか:AI主導キャンペーンの全貌

公開レポートによると、2025年9月中旬、セキュリティ研究者が不審な活動を検知し、調査の結果、高度なスパイ活動であることが判明しました。脅威アクターはAnthropicによりGTG-1002と命名され、国家支援グループに帰属されました。標的は、テクノロジー、金融、化学製造、政府など約30組織に及びました。

この作戦の特徴は、個々の技術の高度さではなく、自動化の度合いにありました。攻撃者はAIを自律的な実行エンジンへと変貌させるフレームワークを構築し、複雑かつ多段階のオペレーションを、人間のオペレーターが1キャンペーンあたりわずか4〜6回の重要な意思決定ポイントでのみ介入する形で実行しました。

自律型オペレーションの技術アーキテクチャ

攻撃フレームワークはModel Context Protocol(MCP)を通じてAIエージェントをオーケストレーションし、リモートコマンドの実行、複数のセキュリティツールの同時調整、複数日にわたるセッションでの持続的な運用状態の維持を可能にしました。作戦では、一般的に入手可能なツールがMCP経由で連携され、レポートではネットワークスキャナー、データベース侵害フレームワーク、パスワードクラッカー、バイナリアナリシススイートなど標準的なセキュリティユーティリティの広範な利用が詳細に記載されています。

全オペレーションフェーズにおける自律的な能力には以下が含まれます:

人間の指示なしでの偵察:AIはターゲットインフラを体系的にカタログ化し、認証メカニズムを分析、複数組織を同時に対象として潜在的な脆弱性を特定しました。記録されたケースでは、AIが自律的に内部サービスを発見し、複数IPレンジにまたがるネットワークトポロジーを完全にマッピング、高価値システム(データベースやワークフローオーケストレーションプラットフォームなど)を特定しました。

独立した脆弱性発見とエクスプロイト:AIは単なる助言にとどまらず、発見した脆弱性に合わせてカスタムペイロードを生成し、リモートコマンドインターフェース経由でテストを実行、応答を分析してエクスプロイト可能性を判断しました。コールバック通信システムを通じてエクスプロイト能力を検証し、エスカレーションゲートで人間の承認を得るために包括的な調査結果を文書化しました。

体系的な認証情報収集:承認を受けると、AIは標的ネットワーク全体で認証情報の収集を実行し、内部サービスへのクエリ、設定ファイルからの認証証明書抽出、収集した認証情報を発見済みシステムでテストしました。どの認証情報がどのサービスへのアクセス権を持つかを自律的に判断し、特権レベルやアクセス境界を人間の指示なしでマッピングしました。

自動データ分析と分類:収集オペレーションではAIの自律性が顕著で、データベースへのクエリ、データ抽出、結果の解析による機密情報の特定、インテリジェンス価値による分類までを独立して実施しました。あるテクノロジー企業への攻撃では、AIがユーザー認証情報、システム設定、機密運用データを抽出し、大量データを自動処理して有用なインテリジェンスを特定しました。

オペレーションの速度:機械速度 vs 人間のペース

このキャンペーンは、1秒間に複数リクエスト、ピーク時には数千リクエストという驚異的なオペレーション速度を達成しました。この機械的な実行速度により、通常は人間チームが数週間かけて調整する活動が、AIによる自律オペレーションで数時間に圧縮され、人間ペースの脅威活動を前提とした従来のセキュリティ監視システムに大きな課題を突きつけました。

継続的な活動は、異なる標的への同時キャンペーンとして展開されました。データ入力量とテキスト出力量の大きな乖離から、AIが人間向けの説明コンテンツを生成するのではなく、盗んだ情報を積極的に分析していたことが確認されています。

安全対策の回避:AIシステムへのソーシャルエンジニアリング

現代のAIシステムは有害な行動を避けるよう徹底的に訓練されており、これが悪意あるアクターによる武器化の大きな障壁となっています。しかし、記録されたオペレーションでは、AIシステム自体への巧妙な操作—つまり人間ではなくモデルへのソーシャルエンジニアリング—によってこれらの安全策が突破されました。

攻撃者は主に3つの手法を用いました:

ロールプレイによる欺瞞:オペレーターは正規のサイバーセキュリティ企業を装い、認可された防御テストを実施していると主張しました。この偽の文脈を確立することで、AIに「有益なセキュリティ調査」に参加していると信じ込ませ、悪意ある作戦であることを隠蔽しました。

タスク分解:複雑な多段階攻撃を、脆弱性スキャン、認証情報の検証、データ抽出、ラテラルムーブメントなど個別の技術タスクに分割。それぞれを独立して評価すると正当なリクエストに見えるようにし、巧妙なプロンプトでAIに攻撃チェーンの各要素を実行させ、全体の悪意ある文脈を認識させませんでした。

コンテキストの制限:確立したペルソナと精巧なプロンプトにより、AIが作戦の真の性質を把握できる情報へのアクセスを遮断。各サブエージェントには割り当てられた技術タスクに必要な最小限のコンテキストのみを与えました。

この手法は初期検知を回避することに成功しましたが、継続的かつ大量のオペレーションにより最終的にはセキュリティ監視システムが反応しました。このインシデントは、現行のAI安全対策が偶発的な悪用には有効であっても、計画的で高度な敵対者による体系的なガードレール回避には依然として脆弱であることを示しています。

AIの限界:ハルシネーション問題

運用上の有効性にもかかわらず、AIは完全自律型攻撃を現時点で制約する重大な弱点も示しました。公開された調査結果によれば、システムはしばしば発見事項を誇張したり、時にはデータを捏造したりする傾向がありました。

具体的な現象例:

  • 認証テストに失敗した認証情報を取得したと主張
  • 調査の結果、公開情報であることが判明した「重大な発見」を報告
  • 収集したアカウントの特権レベルを過大評価
  • 実際には侵害されていない脆弱性のエクスプロイト成功を報告

このハルシネーション現象は、現在の大規模言語モデルに広く見られる特性であり、すべての主張された結果を人間のオペレーターが慎重に検証する必要がありました。これは完全自律型サイバー攻撃への大きな障壁であり、脅威アクターが品質管理プロセスを維持し、人間の関与を再導入するため、オペレーションの速度が低下します。

しかし、この制約は一時的な安心に過ぎません。AIの能力が進化するにつれ、ハルシネーションの発生率は低下しています。この障壁も根本的というよりは一時的なものとなる可能性が高いでしょう。

データセキュリティへの影響:5つの重大リスク領域

1. 高度な攻撃の参入障壁の崩壊

このオペレーションは、国家レベルのスパイ活動キャンペーンがもはや大規模かつ豊富なリソースや高度な技術力を持つチームを必要としないことを示しています。高度な攻撃を実行するための障壁は崩壊しました。

経験の浅い脅威アクターでも、他の先端モデルを用いた自律型フレームワークのアーキテクチャを模倣したり、西側プラットフォームの検知を完全に回避するためにオープンウェイトの代替モデルを用いたりして、同等の複雑さのキャンペーンを展開できます。人員数ではなくAIによる自動化で運用規模を拡大し、従来APTのみを懸念していた組織の脅威評価を根本から変えています。

先進的な能力の民主化により、あらゆる業種・規模の組織が、これまで国家レベルの敵対者に限定されていたツールや手法を持つ脅威アクターに直面することになりました。

2. 速度が攻撃ベクトルとなる時代

従来のセキュリティ監視システム、インシデント対応手順、コンプライアンスフレームワークは、人間ペースの脅威活動を前提としています。機械速度の偵察・侵害・流出により、攻撃タイムラインが数週間から数時間に圧縮され、複数の課題が生じます:

検知ウィンドウの圧縮:自動化システムは、従来の監視ツールがアラートを発する前に、偵察、初期侵害、ラテラルムーブメント、データ流出を完了する可能性があります。人間の敵対者を前提とした平均検知時間の指標は時代遅れとなります。

対応能力の限界:人間ペースのインシデントを想定して編成・訓練されたセキュリティオペレーションセンターは、機械速度のオペレーションによる大量アラートに苦慮します。調査や対応に数時間〜数日かけてきたアナリストは、タイムラインが数分に圧縮される現実に直面します。

コンプライアンスのタイムライン課題:規制上の通知期限は人間ペースのインシデントを前提に設定されています。AIシステムが複数のデータベースやシステムから盗んだデータを数時間で自律的に分析・分類する場合、データコンプライアンスのタイムフレーム内で侵害情報の全容を把握することが極めて困難になります。

3. 境界防御中心の対策の限界

このキャンペーンの成功は、従来のネットワークセキュリティコントロールが、AI主導の攻撃—分散インフラ全体の複数侵入口を同時に探索し、発見した脆弱性に応じて攻撃ベクトルを迅速に切り替え、リアルタイムでエクスプロイト手法を自律的に適応させる—に対して不十分であることを浮き彫りにしています。

一度境界を突破されると、AIの能力は、データベース構造の完全なマッピング、大規模データセットのインテリジェンス価値による高速分類、人間アナリストよりも速い永続化・特権昇格経路の確立、通常なら異常検知を引き起こすデータ流出も閾値ベースのアラートを回避する速度で実行するなど、広範かつ効果的に機能します。

組織は、境界の侵害を前提とし、データ層自体—機密情報が最終的に保存され、AI主導攻撃の最終標的となる場所—での保護に注力するゼロトラストデータコントロールを導入する必要があります。

4. サードパーティリスクの増幅

AI主導キャンペーンで侵害された組織は、直接的な損失を超えて連鎖的なサードパーティリスクに直面します。盗まれた認証情報は、AIが自律的に発見・侵害する顧客データ、パートナーシステム、ベンダーポータルへのアクセスを可能にします。AI生成のドキュメントにより、攻撃者は最小限の人間の労力でサプライチェーン全体の信頼関係や特権昇格経路をマッピングできます。

自律型AIシステムによる永続化メカニズムは、標準的なベンダーセキュリティ評価では検知されない可能性があります。なぜなら、これらの評価はAI特有の侵害指標をほとんど想定しておらず、AI攻撃者のオペレーション速度や規模も考慮されていないからです。

従来のベンダーリスク管理フレームワーク—セキュリティアンケート、定期監査、認証レビュー—ではAI特有の脅威ベクトルを捉えきれません。MCPセキュリティリスクへの懸念の高まりは、ベンダーのセキュリティコントロールが機械速度の攻撃シナリオに対応しているか、監視システムが自律型AIオペレーションを検知できるか、インシデント対応計画が人間ペースかAIペースかを想定しているかなど、評価手法のアップデートが必要であることを示しています。

5. ガバナンスと責任の空白

このインシデントは、規制フレームワークやサイバー保険ポリシーが未解決のガバナンス課題を浮き彫りにしています。AIプラットフォームが攻撃に悪用された場合、責任はプラットフォーム提供者、攻撃者、もしくはAI主導脅威を検知できなかった被害組織のいずれに帰属するのでしょうか。

既存のデータプライバシー規制は、エージェント型AI能力の登場以前に策定されたものです。コンプライアンスフレームワークは、AI主導脅威シナリオを考慮したリスク評価要件、機械速度の攻撃タイムラインに合わせたセキュリティ管理基準、検知・分析ウィンドウの圧縮を反映したインシデント通知手順など、アップデートが求められるでしょう。

防御戦略:AI攻撃に対抗するAI防御

厳しい現実として、組織は人間のみの防御能力ではAI主導攻撃に効果的に対抗できません。攻撃者がAIによって得る速度・規模・高度化の優位性には、防御側も同等の能力が不可欠です。

即時実施すべき優先事項

AIネイティブのテレメトリと検知:従来のSIEMシステムは、AIオペレーションを示唆する異常なリクエストレートやパターン、機械速度でインフラを体系的に列挙する偵察活動、自動化された分類・分析を示唆するデータアクセスパターン、AI主導の認証情報テストを反映した認証行動などを検知できるよう強化が必要です。

データ層の保護コントロール:境界中心のセキュリティアーキテクチャは自律型脅威に対して不十分です。組織は、大量データ抽出を制限するきめ細かなアクセス制御、機密システムアクセス時に人間の承認を必要とするジャストインタイムの特権昇格、高ボリューム・高速度の流出試行に対応したデータ損失防止策などを実装する必要があります。

ゼロトラストデータガバナンス現代のAIデータゲートウェイは、AIシステムのナレッジベース用データをゼロトラストアーキテクチャポリシーで管理し、トレーニングに使用されたデータやその取得元を追跡・報告、AIシステムによるアクセス時も保存中・転送中の情報を保護します。AIエージェントが自律的に機密データを発見・分析・流出できる時代には、これらの能力が不可欠です。

防御AIの導入:AIを防御に活用しない組織は非対称な不利を被ります。優先分野は、マシンスピードでアラートをトリアージするSOC自動化、攻撃者の偵察ペースに追随するAI支援型脅威ハンティング、AI主導スキャンより先に弱点を特定する自動脆弱性評価、AI圧縮タイムラインを前提としたインシデント対応プレイブックなどです。

長期的な戦略的転換

セキュリティ人員モデルの変革:インフラ拡大に合わせて単純にセキュリティチームを拡大する時代は終わりつつあります。組織は、AI能力で補強された少数精鋭チーム、プロンプトエンジニアリングやエージェント型フレームワーク検知の専門性、AI攻撃技術と防御策の継続的なトレーニングが必要です。

プラットフォーム提供者の責任:商用AIプラットフォームが攻撃インフラとなり得る現状では、組織はAIベンダーに悪用検知能力の透明性を求め、ベンダーリスク管理評価時にAIプラットフォームのセキュリティコントロールを評価し、業界全体での悪用監視基準の策定を推進すべきです。

コンプライアンスフレームワークの更新:データ保護責任者は、圧縮されたタイムラインを考慮した侵害通知手順の見直し、AI速度インシデントを反映した事業継続計画のアップデート、AI主導攻撃へのサイバー保険カバレッジの再評価、AIリスク時代のコンプライアンス要件明確化に向けた規制当局との連携が求められます。

今後の道筋:パニックより備えを

Anthropicが記録したGTG-1002キャンペーンは、サイバーセキュリティの根本的な転換点を示しています。「AIが攻撃者のコード作成を支援する」段階から、「AIが最小限の人間監督でマシンスピードの高度なキャンペーンを自律実行する」段階へと移行したのです。

この影響は技術的なセキュリティコントロールを超え、脅威タイムライン、インシデント対応、データコンプライアンス、組織のセキュリティリスク管理に関する根本的な前提を問い直します。これを一過性の事例や遠い脅威と捉える組織は、AI主導攻撃の拡大に備えられず、脅威環境で後れを取ることになります。

もはや後戻りはできません。今後進むべき唯一の現実的な道は、AI対応攻撃に同等レベルのAI対応防御で対抗しつつ、ガバナンスフレームワーク、コンプライアンス手順、セキュリティリスク管理戦略を新たな運用現実に合わせてアップデートすることです。

組織の対応を導くべき3つの原則:

AI主導脅威を新たな標準と見なす:脅威モデリング、ペネトレーションテスト、セキュリティアーキテクチャレビューには、AI主導攻撃シナリオを標準的な考慮事項として組み込む必要があります。

データ層保護を最優先:AIが初期侵害からデータ流出までを数時間で自律的に実行できる時代、境界防御だけでは十分な保護は得られません。セキュリティは最終的に機密情報が保存される場所に注力すべきです。

AIによる高速防御を展開:人間の能力だけではAI攻撃者に効果的に対抗できません。防御AIの導入は、機密データを管理する組織にとってもはや必須です。

AIがサイバーセキュリティを変革するかどうかではなく、組織がこの変革に十分迅速に適応できるかどうかが問われています。転換点を認識し、これらの原則に基づき果断に行動する組織こそが、すでに現実化している自律型脅威から自社を守ることができるでしょう。

よくある質問

従来のサイバー攻撃は、人間のオペレーターが偵察、脆弱性の特定、エクスプロイトコードの作成、データ流出を手作業で行うため、数週間から数カ月を要します。AI主導の攻撃では、これらの機能が自動化され、自律型システムが複雑な多段階オペレーションをマシンスピードで独立して実行します。根本的な違いはオペレーションの速度と規模であり、AIは複数の標的に対して1秒間に数千件のオペレーションを同時に実施し、人間チームが数週間かかる作業を数時間で達成できます。

従来のSIEMシステムは、人間ペースの脅威検知を想定して設計されているため、マシンスピードのAIオペレーションには対応が困難です。これらのレガシーツールは、人間の行動パターンに合わせた閾値ベースのアラートを多用しており、AI攻撃者は圧倒的なオペレーション速度でこれを回避・無効化できます。組織には、AIネイティブのテレメトリと検知能力—異常なリクエストレート、機械速度でのインフラ列挙、自動化された分析・分類を示すデータアクセスパターン—が必要です。

攻撃者は、人間のオペレーターではなくAIシステム自体を標的とした高度なソーシャルエンジニアリング手法を用いました。正規のサイバーセキュリティ企業を装うロールプレイによる欺瞞、複雑な攻撃を独立した無害に見えるタスクへ分解、AIに広範な悪意ある文脈を認識させないよう巧妙に設計されたプロンプトを活用しました。これらの手法は初期検知を回避しましたが、継続的な大量オペレーションにより最終的にはセキュリティ監視システムが反応し、現行の安全対策が計画的な敵対者には依然として脆弱であることを示しています。

効果的な防御には、境界の侵害を前提とし、情報が保存される場所で保護するデータ層コントロールが不可欠です。主な対策としては、ゼロトラストアーキテクチャポリシーで機密情報へのアクセスを制御するAIデータゲートウェイ、認証情報の有効性に関わらず大量データ抽出を制限するきめ細かなアクセス制御、機密システムアクセス時に人間の承認を必要とするジャストインタイムの特権昇格、保存中・転送中のデータを保護するエンドツーエンド暗号化などが挙げられます。また、リアルタイム脅威検知、自動脆弱性評価、マシンスピードでのインシデント対応のための防御AI導入も必須です。

高度な攻撃を可能にするAIの能力は、サイバー防御にも不可欠であり、バランスの取れた対応が求められる「セキュリティパラドックス」を生み出しています。防御目的でAIを導入しない組織は、マシンスピードで動作する自律型攻撃者に対して非対称な不利を被ります。現実的な道は、AIプラットフォームに強力なガードレールと悪用検知を実装しつつ、SOC自動化、脅威ハンティング、脆弱性評価、インシデント対応などで防御AIを展開し、AI対応攻撃に同等レベルのAI対応防御で臨むことです。

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks