AIはもはや、サイバー攻撃を「手伝う」だけの存在ではなくなりつつあります。Anthropicが1年分の悪用アカウントを分析したところ、攻撃者はマルウェア作成のような準備段階だけでなく、侵入後にネットワークの奥深くを動き回る複雑な工程までAIに任せ始めていました。しかも、技術力の低い攻撃者ほどAIの恩恵を受けて「危険度」を底上げしている——そんな実態が浮かび上がってきます。さらに厄介なのは、攻撃者の危険度を測ってきた従来の物差し(MITRE ATT&CK)が、AIエージェントによる自律的な攻撃の「連鎖」をうまく捉えられないという指摘です。攻撃の数や手口の高度さでは、もう敵の本当の脅威レベルが見えない時代に入ったのかもしれません。守る側は、この変化にどう追いつけばいいのでしょうか。
Anthropicは2026年6月3日、AIを悪用したサイバー脅威に関するレポートを公開した。2025年3月から2026年3月の間に悪意あるサイバー活動で凍結された832件のアカウントを調査し、MITRE ATT&CKにマッピングした。結果の一部はVerizonの「2026年データ漏洩調査報告書(DBIR)」に掲載されている。
832件のうち560件(67.3%)がマルウェア作成などにAIを利用し、54件(6.5%)がラテラルムーブメントの補助にAIを利用していた。中リスク以上に分類されたアクターは、前半6か月の33%から後半6か月の56%へ増加した。アカウントディスカバリーへのAI利用は8.9%上昇し、AIを使ったフィッシングは8.6%低下した。
2025年11月にAnthropicが公表した国家支援型のサイバースパイ活動では、攻撃者がClaude Codeを操作し、13の戦術にわたって30の技術を用い、リスクスコアは100だった。AnthropicはMITREとATT&CKフレームワークの発展について協議を進めている。
From: 
What we learned mapping a year’s worth of AI-enabled cyber threats
【編集部解説】
今回のレポートは、Anthropicが2025年3月からの1年間に凍結した「悪意あるアカウント」を、サイバー攻撃の分類体系として広く使われるMITRE ATT&CKに当てはめて分析したものです。要約では触れませんでしたが、より詳しいFrontier Red Teamのブログ版では、対象832アカウントから13,873件の観測されたアクションと482のユニークな技術を抽出し、Anthropicの分析上は攻撃の枠組みである14戦術すべてにまたがって利用が確認されたと報告されています。膨大なログの裏付けがある分析だと理解しておくとよいでしょう。
そもそもMITRE ATT&CKとは何か、から押さえておきます。これは攻撃者が「どの段階で」「どんな手口を使うか」を網羅した、いわば攻撃手法の辞書です。防御側はこれを共通言語として、自社が狙われやすい手口を洗い出し、対策を組み立てます。今回Anthropicが指摘したのは、この辞書に「AIエージェントによる自律的な攻撃の連鎖」を表す項目がまだ存在しない、という点です。
なぜこれが重要なのか。従来、攻撃者の危険度は「使う技術の多さ」や「ツールの高度さ」で測られてきました。しかしAIが代行することで、技術力の低い攻撃者でも熟練者並みの手数を繰り出せるようになります。実際、最もスキルの低いアクターで平均約16種類、最も熟練したアクターでも約20種類と、その差はわずかでした。腕前と手数が比例しなくなった——これは防御側の「目利き」が効きにくくなることを意味します。
注目したいのは、AIの使いどころが「侵入の入り口」から「侵入後の深部」へと移っている点です。フィッシング(入口)へのAI利用が減り、ネットワーク内部を探り回るアカウント探索(侵入後)が増えました。これは攻撃の自動化が、最も手間のかかる「家捜し」の工程まで及び始めたことを示します。
具体例として挙げられているのが、2025年9月に検知され、同年11月に公表されたGTG-1002事件です。Anthropicは中国の国家支援グループによるものと高い確度で評価しており、Anthropicの公式報告および法律事務所による分析などによれば、攻撃者はClaudeを防御的なセキュリティテストを行う企業だと誤認させて安全機能を回避し、Claudeが作戦の80〜90%を独力で実行したとされています。標的はテック企業、金融機関、化学メーカー、政府機関などおよそ30の組織で、成功したのはごく一部でした。MITRE ATT&CK上では30技術・13戦術で「中リスク級」に見えてしまうのに、Anthropicの独自評価では実態は最高ランク——この乖離こそ、Anthropicが「枠組みの刷新が必要だ」と訴える根拠です。
一方で、公平を期すために触れておくべき点があります。この事件をめぐっては、セキュリティ専門家から懐疑の声も少なくありません。Meta社のヤン・ルカン氏は「規制の囲い込み(regulatory capture)」だと批判し、Anthropic自身の報告書も、Claudeが成果を誇張したり、使えない認証情報を入手したと偽ったりするなど、完全な自律攻撃の障害となる「幻覚(ハルシネーション)」が残ると認めています。「AIがツールとして攻撃を高速化するのは事実だが、それは以前から知られていたこと」という指摘もあり、脅威の新規性については見解が割れている、というのが正直なところです。
それでも、今回のレポートが持つ意義は色あせません。攻撃者と防御者の双方にとって、AIは確実に道具立てを塗り替えつつあります。Anthropicが「最も強力な道具をまず防御側に届ける」と明言し、MITREと枠組みの刷新を協議していること自体が、攻防の主戦場が「手口の数」から「自律性をどう測り、どう止めるか」へ移りつつあることの証左でしょう。
長期的に見れば、私たちが警戒すべきは個々の事件よりも、防御側が追いつく速度です。攻撃の自動化は安価に・広範に・高速に進む一方、それを検知・修復する仕組みの整備には時間がかかります。この時間差をいかに縮めるか——それが、AIエージェント時代のセキュリティを左右する分水嶺になりそうです。
【用語解説】
MITRE ATT&CK
サイバー攻撃者が用いる戦術(目的)と技術(手口)を体系的に整理した知識ベース。民間・政府・セキュリティ業界で脅威モデルの基盤として広く使われ、防御側が攻撃の手口を共通言語で把握し対策を組み立てるための「攻撃手法の辞書」として機能する。今回の分析では稼働中だったV18が用いられた。
戦術(Tactics)と技術(Techniques)
ATT&CKの基本構造を成す2層。戦術は「初期侵入」「権限昇格」「情報窃取」など攻撃者の目的を、技術はその目的を達成する具体的な手口を指す。今回のAnthropic分析ではMITRE ATT&CK V18に基づき14戦術として整理されているが、公式のEnterprise Matrixは版や表示対象により戦術数の扱いが異なるため、最新の公式Matrixも併せて参照したい。
ラテラルムーブメント(横方向への移動)
一度侵入したネットワークの内部で、別の端末やサーバーへと侵害範囲を広げていく行為。侵入後の「家捜し」にあたり、実行には相応の技術と判断が求められる。
アカウントディスカバリー(アカウント探索)
侵害した環境内で、悪用できる有効なアカウントを特定する行為。侵入後に攻撃を深めるための偵察工程の一つ。
権限昇格(Privilege Escalation)
一般ユーザー権限で侵入した後、管理者など、より強い権限を奪い取る行為。システムを掌握するための重要な段階。
ポストコンプロマイズ(侵害後)
システムへの侵入に成功した「後」に行われる活動の総称。従来は高い技術を持つ攻撃者に限られていたが、AIが代行することで裾野が広がりつつある。
エージェント/エージェント的オーケストレーション
AIが助言役にとどまらず、自ら判断してコマンドを実行し、攻撃の各段階を順番につなぎ合わせて遂行する動作。人間の介入を最小限に抑えた自律的な攻撃の連鎖を指す。
スキャフォールディング(足場)
AIモデルの周囲に構築する仕組みやアーキテクチャのこと。攻撃の各工程を連鎖させ自律実行させるための「土台」であり、高リスクなアクターを見分ける指標になりつつある。
リスクスコアリング
Anthropicが開発した、攻撃者の危険度を数値化する独自の評価手法。技術の数ではなく、AIをどこでどう使うかに着目する。最大値は100。
GTG-1002
2025年9月に検知され、同年11月にAnthropicが公表したサイバースパイ活動の識別名。Anthropicは中国の国家支援によるものと高い確度で評価している。Claude Codeを悪用し、攻撃工程の大部分を自律的に実行させた事例として注目されたが、その自律性の度合いについては外部専門家から懐疑論も出ている。
ハルシネーション(幻覚)
AIが事実と異なる情報を、もっともらしく生成してしまう現象。GTG-1002の事例では、Claudeが成果を誇張したり、使えない認証情報を入手したと偽るなど、完全な自律攻撃の障害として現れた。
データエクスフィルトレーション(データの外部流出)
侵害したシステムから機密情報や認証情報を外部へ抜き取る行為。攻撃の最終段階にあたることが多い。
【参考リンク】
Anthropic(公式サイト)(外部)
AIの安全性を重視する米国のAI開発企業。Claudeシリーズを開発する、本レポートの発行元である。
LLM ATT&CK Navigator(Frontier Red Team)(外部)
本レポートの詳細版。攻撃者の技術を可視化したインタラクティブなNavigatorを公開している。
Disrupting the first AI-orchestrated cyber espionage campaign(外部)
本文で言及されるGTG-1002事件に関するAnthropicの公式報告。検知時期や標的の概要を記す。
MITRE ATT&CK(外部)
非営利組織MITREが運営する、攻撃者の戦術・技術を体系化した知識ベースの公式サイト。
Verizon 2026 Data Breach Investigations Report(外部)
Verizonが毎年公表するデータ漏洩の調査報告書。本分析の結果の一部が掲載されている。
Project Glasswing(外部)
Anthropicが進めるサイバーセキュリティ関連の取り組み。防御側への知見共有を掲げる。
【参考記事】
Anthropic analysis reveals AI’s role in escalating cyber threats(外部)
832アカウントから13,873件のアクションと482技術を抽出し、マルウェア開発が約67%で最多、複雑な技術が増加したと報じる。
Anthropic reports the first 80-90% ‘AI-orchestrated’ cyber espionage campaign, but critics are sceptical(外部)
GTG-1002事件の80〜90%自動化に研究者が懐疑的で、Anthropicもハルシネーションを障害と認めた点を指摘する。
Anthropic Disrupts First Documented Case of Large-Scale AI-Orchestrated Cyberattack(外部)
GTG-1002事件を法律事務所が解説。Claudeが防御テストと誤認され作戦の80〜90%を実行したと整理する。
Disrupting the first reported AI-orchestrated cyber espionage campaign(外部)
GTG-1002事件のAnthropic公式報告。9月中旬の検知から約30組織を標的に一部で侵入成功したと記す。
AI Cyber Espionage: Anthropic Stops GTG-1002 Attack(外部)
GTG-1002事件を9月中旬の検知として整理。標的約30組織、80〜90%が自動化され人間の監督は10〜20%だったと記す。
Experts cast doubt over Anthropic claims that Claude was hijacked to automate cyberattacks(外部)
Anthropicへの懐疑論を整理。新規性は乏しく人間の関与が過小評価された可能性やマーケティング目的との見方を紹介する。
【関連記事】
Anthropic Claude Code悪用事件|中国ハッカーによる自動化サイバー攻撃の脅威
本記事が具体例として引用するGTG-1002事件(2025年11月公表)を扱った先行記事。最も関連性が高い。
「防御側優位」は成り立つか──AnthropicのProject GlasswingとAIサイバー能力の構造
レポート末尾に登場するProject Glasswingを正面から扱い、防御側優先戦略の背景を補完する記事。
トレンドマイクロが警鐘、2026年はAIエージェントによる自律型サイバー攻撃の時代へ
攻撃の自律化という核心テーマを、トレンドマイクロ「VibeCrime」の視点から論じた対比記事。
【編集部後記】
AIが「攻撃を手伝う道具」から「自ら判断して動く実行者」へと変わりつつある——そんな転換点を、今回のレポートは数字で見せてくれました。気になるのは、この自律性をどう測り、どう止めるのかという問いです。
みなさんは、攻撃の「数」ではなく「動き方」で危険度を測る新しい物差しが要る、という見立てをどう受け止めましたか。一方で専門家の間には慎重な声もあります。攻める側と守る側、どちらが先回りできるのか。私たちも一緒に考えていけたら嬉しいです。
