Anthropicが「サイバー攻撃はすでにAIで自動化されている」と報告

セキュリティコミュニティがAIを活用したサイバー攻撃に対してどれほど耐えられるのかを調べるため、AI企業のAnthropicが調査を実施しました。その結果、「サイバー攻撃はすでにAIで自動化されている」ことが明らかになっています。

What we learned mapping a year’s worth of AI-enabled cyber threats \ Anthropic
https://www.anthropic.com/news/AI-enabled-cyber-threats-mitre-attack

Anthropicは2025年3月から2026年3月までの1年間にわたって「サイバー攻撃への使用」を理由に利用停止措置を下した832件のアカウントを調査し、攻撃者が使用する戦術と技術のデータベースであるMITRE ATT&CKにマッピングしました。なお、調査期間中には膨大な数のアカウントがサイバー攻撃を理由にアカウント停止措置の対象となっており、調査対象の832件はその一部に過ぎません。ただし、Anthropicはこの一部のアカウントからでも「攻撃者の技術を評価するのに十分詳細な情報が得られた」と説明しています。

調査の結果、Anthropicは以下の3つの結論が得られたと説明。

◆1：サイバー攻撃者によるAI利用は単純な攻撃から複雑な攻撃へ移行しつつある
Anthropicのデータベースで最も一般的な「AIを活用したサイバー攻撃に関する活動」は、マルウェアの作成など、サイバー攻撃への準備に関連するものでした。調査対象となった832件のアカウントのうち、560件(67.3％)が「サイバー攻撃への準備」にAIを使用していることが明らかになっています。より複雑な活動にAIを使用している攻撃者は少数で、例えば、832件の攻撃者アカウントのうち54人(6.5％)のみが侵害されたネットワークの奥深くまで移動するためにAIを活用していました。

また、AnthropicはAIが攻撃者の脅威レベルを高めるために利用されていることを示す証拠も発見しています。分析対象期間の最初の6カ月間では、攻撃者の33％がAnthropicのリスクスコアリングシステムによって「中リスク以上」と分類されましたが、次の6カ月間ではその割合が56％に跳ね上がりました。

調査期間を通じ、攻撃者によるAI活用はシステムへの初期アクセスを獲得するための手法から、システム内部に侵入した後に実行される活動へと移行していったそうです。例えば、侵害された環境内で有効なアカウントを特定するためにAIを利用するケースは、調査期間中に8.9％増加。一方で、システムへのアクセス権を獲得するための一般的な手法であるAI支援型フィッシングは8.6％減少しました。これは、攻撃者が攻撃ライフサイクルのより深い段階でAIをますます活用するようになっていることを示唆しています。

このような「システム侵害後」の手法は、従来はそれを実行できる技術的知識を持つ攻撃者に限られていました。しかし、Anthropicの調査により、記事作成時点ではそれほど高度な技術を持たない者でも、AIを使ってこれらの活動を実行できるようになっていることが明らかになっています。

◆2：サイバー攻撃はAIによって自動化されており、高リスク攻撃者を特定する従来の方法は役に立たない
Anthropicはこれまで、攻撃者が用いる手法の種類や使用するツール、インターフェースといった情報に基づいてリスク評価を行ってきました。しかし、これらの指標だけでは特定の脅威アクターのリスクレベルを正確に把握することはもはや不可能になりつつあるとAnthropicは指摘しています。

AIが攻撃者に代わって高度な技術的タスクを実行できるようになったため、脅威アクターのスキルと使用するテクニックの数との間にはほとんど相関関係が見られなくなりつつある模様。データセットの中で最もスキルが低いアクターは、平均して約16種類のテクニックを使用していたのに対して、最もスキルが高いアクターは約20種類のテクニックを使用していました。同様に、使用された特定のプラットフォーム(Claude Code、API、チャットインターフェースなど)も、アクターのリスクレベルとは相関関係がなかったとAnthropicは報告しています。

リスクの高い攻撃者を見分けるのに役立つのは、 攻撃ライフサイクルのどの段階でAIを利用しているかという点です。例えば、リスクの高い攻撃者はシステムへの初期アクセス権を取得するだけのタスクではなく、アカウントの発見、横方向の移動、権限昇格など、実行に多大な時間・監視・リアルタイムの意思決定を必要とする、より運用上の要求が高い手法にAIの利用を集中させる傾向があります。

高リスクの攻撃者はサイバー攻撃の個々の段階をAIモデルで連結し、最小限の人的介入で実行できるようなアーキテクチャを設計しつつあるそうです。

◆3：従来の評価基準ではAIを用いる攻撃者のリスクを正確に把握できない
最もリスクの高い攻撃者を特徴づける行動の多くは、AIを使用して攻撃チェーンの各ステップを順序立てて実行したり、次に何をすべきかをリアルタイムで決定したり、人間の介入なしに実行したりすることなどです。このような手法はMITRE ATT&CKフレームワークの攻撃手法にはまだ含まれていません。

2025年11月にAnthropicが阻止した国家支援型サイバー諜報作戦の場合、悪意のある攻撃者がClaude Codeを利用して人間の介入をほとんど必要とせずに世界中の標的システムに侵入しようとしました。MITRE ATT&CKフレームワークに照らし合わせると、攻撃者は13種類の戦術にわたる30個ものテクニックを使用しており、これはAnthropicのデータセットに含まれる多くの中リスク攻撃者と同程度でした。しかし、Anthropicは「この攻撃者が使用したテクニックの数に注目すると、実際の危険性を過小評価することになります」と指摘。

Anthropicが阻止した国家支援型サイバー諜報作戦の場合、AIモデルは自律エージェントとして機能しました。コマンドを実行し、脆弱性を悪用し、認証情報を盗み出し、戦術的な意思決定を行い、人間の介入が必要だったのはごくわずかな重要な場面だけです。このようなエージェントによるオーケストレーションに対応するATT&CK IDは存在しませんが、エージェントの能力が向上するにつれ、このような挙動が今後ますます多く見られるようになると予想されます。

Anthropicは「最先端のAIモデルは、攻撃者と防御者の両方が利用できるツールを急速に変化させています。私たちは、防御者がこうした進化する戦術に先手を打てるよう支援し、最も強力なツールをまず防御者の手に届けることに尽力しています」と述べ、今後もAIを活用したサイバーセキュリティの強化に取り組んでいくと説明しました。

なお、Anthropicは今回の調査の詳細については、自社のAIサイバーリスク評価チームであるFrontier Red Teamのブログを閲覧して欲しいと説明しているので、気になる人はチェックしてみてください。

LLM ATT&CK Navigator \ red.anthropic.com
https://red.anthropic.com/2026/attack-navigator/