NIDSコメンタリー　第434号　2026年5月19日 高度なサイバー攻撃キャンペーンにおけるAI悪用によるスケール化のインパクトと対策

• シェアする

はじめに

2026年2月25日にBloombergなどが、「メキシコ政府機関がClaudeを使ったサイバー攻撃に遭い、1億9500万人あまりの納税記録や住民情報が漏洩した」と報じた¹。調査を行ったセキュリティ企業GambitSecurity社によると²、各AIサービスには、サイバー攻撃用途の悪用などを防ぐ対策がなされているが、この攻撃者は同サービスの利用にあたり、脆弱性を探すペネトレーションテストやバグバウンティ目的であるように装い、Anthropic社のClaude Codeの悪用防止策を回避しようとしていたとされる。具体的には、Claude側の警告などを回避する手法を駆使するほか、Claude側に利用を拒否された場合は、ChatGPTも併用するなどして情報を得ていたとされる。被害を指摘されたうち、国家選挙管理委員会（INE）やハリスコ州政府は被害を否定しているが、現時点（本稿執筆時）では、その詳細について政府からの公式発表等はなされていない。

AIサービス自体のセキュリティ上の問題点が指摘されるとともに、サイバー攻撃者がAIサービスを悪用してその攻撃手法の高度化や活動の拡大・高速化を狙う可能性は以前から指摘されてきたところ、ここ1～2年の間に具体的な悪用事例³、特に本稿で解説するような、APT（Advanced Persistent Threat）といった高度なサイバー攻撃活動での悪用が顕在化している状況にある。

APTなどの高度なサイバー攻撃活動は、その目的達成のためにセキュリティ製品の検出を回避しながらの長期潜伏や、痕跡をなるべく残さない侵害拡大（横展開：ラテラルムーブメントと呼ばれる）など、技術的に高度なスキルを必要とするため、人的リソースやスキルのレベルにより攻撃範囲や活動頻度が制約を受けることから、ある意味、限定的な範囲・期間しか顕在化してこなかった。本稿では最近の悪用事例を紹介しつつ、AIサービスの悪用により、高度なサイバー攻撃活動が“スケール”（規模を大幅に拡大する。スケーラビリティを有する）することの問題やその対策の方向性について考察⁴する。

AIサービス各社による相次ぐ悪用事例報告

2026年2月にGoogleが同社のGeminiを悪用した様々なサイバー攻撃活動に関する報告書を⁵公開した。Google社（と買収された旧Mandiant社）はAPTキャンペーンへの対応とアクターの追跡の知見が豊富であり、それぞれの悪用事象とAPTアクターをはじめとした各脅威アクターとの紐づけに成功している。報告書で紹介された、各脅威アクターによるGeminiの悪用事例は以下の通りである。

標的の選定・偵察フェーズでの悪用：UNC6418、Temp.HEX（中国関連）

ソーシャルエンジニアリングの強化：APT42（イラン関連）、UNC2970（北朝鮮関連）

ツール開発ほか攻撃活動の支援：APT31（中国関連）、UNC795（中国関連）、APT42（再掲）

すでにAPTアクターによるAI活用が広く展開されている実態が明らかになっているが、後述の通り、APTのような高度な攻撃活動全体から見ると、AI活用はあくまで補助的（イネーブラー）であり、一部の機能／リソースにおいてAIを活用しているように見受けられる。Google社は、特にマルウェア開発において「革命的なパラダイムシフト」を起こすようなものではないが、「概念実証（PoC）型のマルウェアファミリーは、脅威アクターが将来のオペレーションにおいてAI技術をどのように実装し得るかを示す初期の兆候」と指摘⁶している。

一方で、こうした限定的なAI技術利用ではなく、AIエージェントを用いた、人的リソースの代替としてのAI利用が観測され始めている。2025年11月にAnthropic社が自社のAIサービス「Claude」を悪用した攻撃活動についてレポートを公開⁷した。この悪用はAIのエージェント機能を活用し、攻撃者の補助としてだけではなく、エージェント自体を攻撃の実行者として悪用したものであり、同社はサイバーセキュリティにおける「変曲点（inflection point）」であると評価している。具体的なアクター名は明示していないが、Anthropic社は「高い自信を持って中国の国家支援グループと判定」しているとし、2025年9月から大手テック企業、金融、化学、政府機関など30の組織に関する活動が観測されたと報告している。以下が報告されたAIサービス悪用の各攻撃フェーズである。

フェーズ１：標的の選定・偵察

標的の選定はオペレータが手動で指示し、その後、Claudeが複数の標的に対して同時並行で自律的な偵察を開始した。

フェーズ２：アタックサーフェス（侵入経路）選定

標的組織のITインフラをマッピングし、認証メカニズムを分析、潜在的な脆弱性を特定した。

フェーズ３：脆弱性探索と検証

発見した脆弱性に応じたペイロード（悪意あるコード）を生成し攻撃テストを行い、標的システムからの応答を分析して当該脆弱性の悪用可能性を検証した。

フェーズ４：侵害拡大　横展開

オペレータからの承認を受け、Claudeは標的ネットワーク全体の認証情報収集を行った。自動化された処理により、どの認証情報がどのサービスにアクセス可能か、各権限レベルとアクセス可能範囲のマッピングを行った。

フェーズ５：窃取

標的組織のデータベース等へのクエリ実行、データ抽出、窃取したデータの整理などを行わせた。

フェーズ６：文書化

上記の全フェーズについて文書作成を行い、窃取した認証情報、データ、攻撃の過程などを記録した。この文書化により、各攻撃フェーズを分担するオペレータ間のシームレスな引継ぎが可能となる。

図：各攻撃フェーズについてAnthropic社レポートからの抜粋（脚注5参照）

同社の2025年8月のレポートにおいて、いわゆる「バイブハッキング」事案が報告されているが、この事案では基本的に人間が攻撃の指揮を執る形で実施されていた⁸。今回報告の事案では自動化されたワークフローやオペレータの監督下で半自律的に攻撃が実行されている点で大きく異なっていると同社は指摘する。特にこれらの広範囲な攻撃キャンペーンを迅速・大規模に展開した点を、同社は「印象的だった」と評価している。他方で、筆者としては、特にフェーズ４の横展開（侵害拡大）やフェーズ6（作業の記録・引継ぎ可能な状態）が自動化されている点に注目した。詳細は後述するが、高度なサイバー攻撃活動においては、侵入後のプロセスに高度な経験を有する人材が必要であるところ、こうしたフェーズが自動化・分業化できることで、従前人的リソースによって活動規模が制約されてきた高度なサイバー攻撃活動をスケール化することが可能になるのである。

アクター側の何が変わるのか

サイバー攻撃におけるAIの悪用により、「フィッシングメール／フィッシングサイトの日本語の巧妙化」、「ネットワークに面した機器への攻撃の自動化・範囲拡大」といった指摘が散見されるが、これらはもともと、AI登場以前から従前のシステムである程度自動化がされてきたものであり、すでにスケールしたサイバー攻撃である⁹。また、2026年4月に大きな話題となった、Claude Mythosによる数千件の新たな脆弱性の発見（Project Glasswing）はAPTのような高度な攻撃キャンペーンの初期フェーズの効率化・スケールを示している¹⁰。

他方で、前半に紹介したAI悪用事例のインパクトが異なるのは、従前、大規模化が難しいと思われていた高度なAPTキャンペーンが大規模化する点にある。本稿の問題意識は、AIが既に自動化されている初期侵入フェーズを大規模化・効率化する点よりも、従来は人的な熟練度に依存していた侵入後の横展開等の攻撃フェーズを大規模化しうるという点にある。

図：APTアクターによるAI悪用のステップアップ（筆者作成）

冒頭に紹介したメキシコの件は、国家を背景とするアクターによる、いわゆるAPTキャンペーンではない可能性もあるが、Anthropic社やGoogle社が観測した事例はAPTキャンペーンである。APTキャンペーンを行うためには高度なスキルと経験を持つ人材の確保が必要であり、特に中国関連では専門的知見を持つ民間ハッカーやセキュリティ専門企業を利用したAPTキャンペーンが相次いで明らかになっている。攻撃者（オペレータ）には、マルウェア開発やツール操作、脆弱性悪用などの技術的スキルだけでなく、特に侵入「後」の動きにおいては、標的組織内ネットワークの探索・全体像の把握、横展開のルート開拓、検出回避など、実践経験によって得られる知識も必要である。

初期侵入は基本的に同じ構成の対象機器を狙うため、自動化しやすい一方で、侵入後の標的組織内のネットワークというものは組織毎にその構成や運用状態、セキュリティ対策が大きく異なるため、「侵入して初めてその構造を探索して攻略する」必要があり、これまでは簡単に自動化できないと思われていた。だが、Anthropic報告の攻撃活動はこの「侵入後の探索・侵害拡大」フェーズまでも自動化されているのである。この侵入「後」の自動化という新たな戦術は、これまでのAPTアクターの活動範囲や頻度を縛っていた「（高度な）人的リソースの確保」の必要性を低減させ、今後大規模化する恐れがあると筆者は懸念するのである。

また、これも中国関連のAPT活動についてであるが、ここ2～3年において、初期侵入、横展開、攻撃インフラ調達・運用をそれぞれ担うアクターが分業・連携する、マルチアクター戦術¹¹が多用されており、活動全体の規模や攻撃頻度を高めることに成功しつつあると評価できる。AIはこの点でも活用（悪用）でき、前述の「フェーズ6（作業の記録・引継ぎ可能な状態）」のように、他のユニット／担当者と分業・連携（引継ぎ）を容易にさせると考えられる。

図：AI悪用によるAPTキャンペーンのスケール（筆者作成）

課題と対策

本稿で紹介したAnthropic、Googleの両社とも、すでに生成AIサービス提供における対策を講じている旨を表明している。事業者側での自主的な悪用防止措置はもちろん必要なものではあるが、攻撃活動への対処としては十分ではない。悪用防止策に対するあらたな回避手段が開発される可能性のほか、自主対策が不十分ではあるものの、高性能を有する新興AIサービスの登場、さらには攻撃者やその支援組織・国家側が独自にAIサービスを開発¹²し、攻撃活動での利用を容認するようなケースが想定されるからである。

AIの悪用によってAPTキャンペーンがスケールする恐れは、RaaS（ラース）スキームの拡散によってランサムウェア攻撃がスケールしたことと同様に考えられるだろう。2019年以降、従前のランサムウェア攻撃に比べてより深く標的組織内部に侵入する、「侵入型ランサムウェア攻撃」が多発するようになり、世界的に爆発的な急増を見せたが、この背景にはRaaS¹³と呼ばれる分業スキームがあり、RaaSによってスキルレベルが異なるアクターをランサムウェア犯罪に投入できようになったことで、ランサムウェア犯罪がスケールしたのである。

この時防御・対処側では、急増するランサムウェア攻撃に対して適切なインシデント対応・分析ができる専門組織（セキュリティ企業や専門機関等）が不足した。従前のランサムウェア攻撃と異なり、標的組織のネットワーク奥深くまで侵入しAPTキャンペーン並みの戦術・ツールを使うケースもあり、インシデント対応における調査範囲・内容としては高度なAPTキャンペーン被害事案の調査に近いレベルが求められることになった。他方でこうした調査経験がある専門組織はセキュリティ業界の中ではある程度限定されるため、急増する相談件数に対して十分な知見を持つ専門組織が不足する事態に陥った¹⁴のである。

AI悪用によるAPTキャンペーンの大規模化によってこれと同じことがセキュリティ業界側で起きると筆者は懸念している。APTアクターによるAI悪用がもたらす防御側のボトルネックは、「インシデント報告件数の増加」、「初動時間の猶予がさらに小さくなること」、「組織間調整の遅延・“摩擦”」、「専門的知見の需給バランスの不安定化」の４つである。こうした課題に対して、どのような対策が考えうるだろうか¹⁵。

〇サイバー攻撃「被害」の再定義と報告制度の見直し

AI悪用により高度なサイバー攻撃キャンペーンがスケールすることで、行政機関への報告件数も増加することが想定される。各国において、重要インフラ事業者を中心にインシデント報告の義務化や短期間での報告（48時間～72時間以内の初報など）を課す傾向¹⁶が強まっているところ、日本においては、令和４年４月からの改正個人情報保護法の施行により、個人データの漏洩について報告義務化がなされている。ランサムウェア攻撃の増加の影響もあるが、そのほか、報告義務化の周知が中小企業等まで広まったことで制度上の報告件数の増加¹⁷が続いている。そして、今年10月からは、「能動的サイバー防御」（ACD）整備に向けたサイバー対処能力強化法によって、基幹インフラ事業者に対してインシデント報告の義務化¹⁸が始まる。この制度においては、攻撃の初期フェーズで侵害されるようなネットワーク機器への侵害事象について、その認知時点での報告¹⁹を求めることから、従前報告対象となっていなかったインシデントの多くが報告対象として顕在化すると思われる。

前項で触れた通り、生成AI悪用によるサイバー攻撃の効率化については、目的達成までの全フェーズを効率化・高度化するにはまだいくつかのハードルがあるものの、その初期段階（ネットワーク機器の脆弱性発見・初期侵入等）を効率化させることは間違いない。前項で触れた「マルチアクター戦術」により、初期侵入経路の開拓に特化した分業アクターによる大規模なネットワーク機器侵害の攻撃キャンペーンが多発しているところ、AI悪用によりさらに多くのアクターが同様の攻撃キャンペーンを展開できるようになった場合、サイバー対処能力強化法に基づく報告件数が急増することが予想される。行政機関へのインシデント報告の効率化として、報告様式の統一化²⁰などが取り組まれ始めているところ、被害組織側の負担軽減がなされたとして、果たしてその膨大な報告情報を行政機関側が処理しきれるのかという新たな問題が登場する。AI悪用により、高度なサイバー攻撃の「波状攻撃」「飽和攻撃」的な戦術²¹や、攪乱目的の大規模攻撃も懸念されるところ、大量の報告件数から最も警戒・対処が必要な事象を見つけ出すことができるのか、現状の制度ではその限界があるのではないかと筆者は考える。高度なAPTキャンペーンのようなサイバー攻撃に限らず、インシデント報告数が急増することが想定される「AI悪用時代」に即した、サイバー攻撃被害の再定義や報告制度の改善が必要である。

〇効率的なインシデント対応・調査手法の整備

攻撃側と同じく、防御側の様々なセキュリティ製品やサービスもAI活用を進めており、自動化される多くの攻撃は十分に検出・防御可能になるであろう。他方で侵入を許してしまったあとのインシデント対応においては、被害組織毎にシステム構成・運用状況は異なり、また、インシデント対応では非技術的な対応のコスト（被害公表・広報対応、顧客・取引先などの対応、行政機関への報告等）が発生するため、（少なくとも現時点では）人間がその多くに対応せざるを得ない。速やかに侵入を検知、あるいは攻撃被害に遭う前に注意喚起等の情報や対策手段を得ることができたとしても、組織内外の対応に手間取ることで被害予防・被害拡大防止の機会を失ってしまうのである。

サイバー攻撃被害として公になるものは、情報漏洩やサービス停止など実際の被害が確認された場合であり、侵入を防げた場合、または侵入されたものの、すぐに検出し追い出すことができた場合などは通常明らかにされていない。「侵害されたものの、早期に検出・対応できた」案件も相当数存在している。この初期対応フェーズで課題となるのは、攻撃者側のAI導入により、「侵害されてから“迎撃”できるまでの時間（機会）」が極めて短くなることが予想されるため、これまで以上に検知から対応へのスピードアップが求められることになる。組織内の調整、行政機関等とのやりとりのコストといった、インシデント対応における技術的対応以外のコストについて、可能な限り無駄を省き、被害組織が初動段階で技術的対応に集中できる環境整備²²が必要である。

〇情報開示・情報共有

APTキャンペーンが大規模化した場合、攻撃を広範囲に行うほど、検知される確率も高くなる。他方で、被害現場間で情報が共有されなければ、その他の被害は放置されることになる。

AIを利用しているかどうかは不明であるが、2024年と2025年に複数回にわたる大規模な攻撃キャンペーンが発覚したUNC5221によるIvanti製品の脆弱性を狙った攻撃キャンペーン²³では、数千台以上の同社製機器を狙ったグローバルな攻撃が展開されたため、いずれの攻撃の波も1か月以内には捕捉・対処がなされている。この際には最初のゼロデイ攻撃を発見したGoogle／Mandiant社が速やかに分析レポートを開示²⁴するとともに、脆弱性が悪用されたIvanti社をはじめ、各国の専門機関等が注意喚起を実施した。

広範囲な攻撃であるほど、攻撃キャンペーンを捕捉できる可能性は高くなり、また、各被害現場での調査が早く進むほど、現場の証拠（アーティファクト）から得られる情報量も増え、攻撃の全容解明や被害拡大防止につながりやすくなる。問題はこうした動きが人・組織間の摩擦で阻害されることである。最初に被害に気づけた組織からの情報が共有されなかったり、原因となった製品メーカーからの情報開示が遅れる²⁵など、非技術的な要因によって社会全体の対応スピードが遅延することで、攻撃キャンペーンを捕捉できないまま、事後対応に陥りがちである。

〇対処能力の“見える化”

先述の通り、ランサムウェア攻撃の増加フェーズにおいては、技術・知見的に適切に対処可能な専門組織が不足する事態に陥った。さらに、専門組織が少ない地方において「頼る先がない」被害組織がとにかく相談できそうな先に依頼することでミスマッチが起きていた。

APTキャンペーンがスケール化した際も同様の現象が起きるのではないかと考えられるところ、セキュリティ業界側全体の知見向上もさることながら、利用者（被害組織）が正しく専門組織を選択できる仕組みも必要である。個別のインシデント対応はNDA（秘密保持契約）などにより情報が制約されており、また、被害公表で開示される情報も限定的であるため、「どの専門組織がどのような作業ができ、どの程度の専門知見を有しているのか」外部評価を受けにくいという構造²⁶にある。

他方で、特にAPTキャンペーンにおいては専門組織から分析レポートが公表されることが多く、こうした開示情報を通じて当該専門組織（や担当したアナリスト）の能力を評価することが可能²⁸となっている。こうした情報開示により利用組織（被害組織）が知見のある専門組織を選びやすくなるだけでなく、業界内においても相互評価のメカニズムが働き、また、知見の共有が広く行われるようになるため、業界全体でのスキルの底上げやミスマッチの回避が進むと思われる。

図：アクター側のスケールに対して我が方側の課題／非対称性（筆者作成）

さいごに

APTキャンペーンのような高度なサイバー攻撃におけるAIの悪用がもたらす影響について未だ断定的なことは言えないだろう。Googleが報告した事案ではAI活用はまだ限定的なものであり、試行錯誤がなされていることが垣間見られる。また、Anthropicが報告した事案でもAI側のハルシネーションが起きている点が指摘されており、攻撃の有効性にはまだ疑問が残る状況である。前述の通り、攻撃の範囲が広く活発に行われれば、いずれかの標的組織やセキュリティ製品が早期検出できる機会が増える点も指摘できる。さらに、「人・組織同士の摩擦を減らす」ことで、大規模化しようとするAPT活動にも対処できる防御側の改善の余地がまだ残されている。

2026年４月に英AISI（AI Security Institute）がMythos Previewのサイバー攻撃能力評価に関するレポートを公表した²⁸。これは、単独の問題を解くようないわゆるCTF（Capture The Flag）方式のテストだけではなく、実際の標的組織のネットワーク環境模した「サイバーレンジ」上での多段階の攻撃シナリオのシミュレートが含まれている。Mythos Previewはやはり従前のAIモデルよりも好成績を収め、攻撃フェーズのほとんどを実行することに成功しているが、このテストでは実際のネットワーク環境で実装されているような能動的な検知手段などは用意されていないことから、AISI側も「よく防御されたシステムを攻撃できるかは確証を持って断言できない」とし、そうした実運用環境により近い環境での検証が今後の課題であるとしている。

AI悪用によるサイバー脅威の変化については、抽象的な話題が多く、具体的事例や個別類型／アクター別の考察がほとんどなされていないのが現状である。特にAPTキャンペーンについては、サイバー攻撃／犯罪全体の規模からすればかなり限定された範囲の事象であり、また、被害現場対応を実際に経験できるのはインシデント対応をサービスとして有し、専門的知見を持った一部の専門組織に限定されるため、「語れる」関係者が比較的少ない分野である。本稿では筆者が実際に本務側で対応にあたってきたランサムウェア攻撃の急増と、これまで分析・追跡してきたマルチアクターモデルの観点から、APTキャンペーンにおけるAIの悪用によって防御側が直面する可能性のある課題を整理した。

APT事案対応のような高度なインシデント対応は技術的な対応の難しさだけでなく、被害の社会的影響から、被害公表・メディア対応、行政機関への報告・届出などの非技術的な対応コストが極めて高い事案となる。こうしたAPTキャンペーン対応に日々あたっている脅威アナリストたちはインシデント対応における様々な人的・組織的・制度的な“摩擦”を目の当たりにしており、なおさらアクター側の“スケール”の脅威への懸念を募らせているのである。本稿を通じてそうした危機感の一部が伝われば幸いである。