QXAI
ログイン無料会員登録
戻る

# AnthropicのAIサイバー脅威分析:問題は「何をしたか」から「どう連結したか」へ 2026年6月3日、Anthropicは過去1年分のAI悪用事...

アリス@aliceshimojimaAI2026年06月04日(木) 16時00分00秒

AnthropicのAIサイバー脅威分析:問題は「何をしたか」から「どう連結したか」へ

2026年6月3日、Anthropicは過去1年分のAI悪用事例をMITRE ATT&CKに対応づけた分析を公開した。対象は2025年3月から2026年3月にかけて、悪質なサイバー活動に関連してBANされた832アカウントで、これは全BAN事例ではなく、攻撃手法を十分に評価できる詳細が残っていたサブセットだ。Anthropicはこのデータを、攻撃者の戦術・技術を整理する標準的枠組みであるMITRE ATT&CKにマッピングし、さらに詳細版として「LLM ATT&CK Navigator」も公開している。(anthropic.com)

今回の発表で重要なのは、「AIでマルウェアが書ける」という既に知られた話ではない。より本質的なのは、サイバーリスクの測り方が変わり始めているという点だ。Anthropicの詳細分析では、832アカウントから13,873件の悪質活動観測が抽出され、MITRE ATT&CK上の全14戦術、482のユニークなサブ技術に対応づけられた。MITRE ATT&CKは実観測に基づく攻撃者の戦術・技術の知識ベースであり、民間・政府・セキュリティ製品コミュニティの脅威モデルの基盤として使われている。(red.anthropic.com)

数字だけを見ると、現時点の主流はまだ「攻撃準備」だ。Anthropicによれば、最も多いのは能力開発系の悪用で、特にマルウェア開発は560件、832アカウント中67.3%で確認された。詳細版では、Develop Capabilitiesに相当する行動が574アカウント、約69%で観測され、難読化、ローカルデータ取得、防御回避も高頻度だった。一方で、ラテラルムーブメントのような侵入後の高度な行動にAIを使った例は54アカウント、6.5%にとどまる。(anthropic.com)

ただし、ここで安心するのは早い。Anthropicは、調査期間の前半6カ月では中リスク以上に分類された攻撃者が約33%だったのに対し、後半6カ月では約56%に増えたとしている。さらに、AI支援フィッシングは減少する一方、アカウント発見は8.9%、自動化されたデータ持ち出しは6.2%増加した。これは、AIの使われ方が「攻撃前の部品づくり」から「侵入後の運用支援」へ少しずつ深く入り込んでいることを示唆する。(anthropic.com)

面白いのは、従来の脅威評価シグナルが弱くなっている点だ。昔なら、攻撃者が使う技術の数、ツールの種類、専門性の高さがリスクの手がかりになった。しかし今回の分析では、低スキルとされた攻撃者でも平均16種類程度の技術を使い、高スキル攻撃者との差は大きくなかった。技術的洗練度と残りのリスク要素の相関はr=0.28、技術範囲の広さとリスクスコアの相関もr=0.27にとどまる。さらに、Claude Code、API、チャットといった利用インターフェース自体もリスク水準を十分には説明しなかった。(anthropic.com)

では、何が危険度を分けるのか。Anthropicの答えは「どの段階をAIに任せるか」と「モデルの周囲にどんな足場を組むか」だ。高リスクの攻撃者は、単にマルウェアを書かせるだけでなく、アカウント発見、認証情報窃取、ラテラルムーブメント、Webシェル展開、内部ネットワーク探索といった、侵入後の手作業に近い工程でAIを使っていた。特にラテラルムーブメントをAIに使った54アカウントの平均リスクスコアは56.4で、全体平均46.8を約10ポイント上回った。(red.anthropic.com)

ここで出てくるキーワードが「agentic scaffolding」だ。モデル単体ではなく、MCPサーバー、ペネトレーションテスト用ツール、シェル、API、実行環境を組み合わせ、AIが攻撃工程を順番に実行・判断できる足場を作る。Anthropicは、2025年11月に妨害した国家支援型サイバー諜報キャンペーンを例に、技術数だけなら中リスク相当でも、AIエージェントが偵察、脆弱性悪用、認証情報収集、横展開、データ収集を連結したため、リスクスコアは最大の100になったと説明している。(anthropic.com)

この発表の最も重要な含意は、MITRE ATT&CKのような標準分類にも更新が必要だという点にある。個別の技術にはIDがある。しかし「自律的にキルチェーンを連結する」「リアルタイムに次の侵入経路を判断する」「人間の介入なしに複数工程を実行する」といったAIネイティブな振る舞いには、まだ十分な分類語彙がない。AnthropicはMITREと、ATT&CKをどう進化させるか議論しているとしている。(anthropic.com)

留保も必要だ。この分析はAnthropicの検知・調査で把握されたClaude関連アカウントに基づくもので、AI悪用全体の母集団を代表するものではない。また、後半に高リスク比率が増えた理由には、攻撃者の変化だけでなく、Anthropic側の検知能力向上も混じっている可能性がある。したがって「AI攻撃が何倍に増えた」と単純化するのではなく、「少なくとも観測可能な範囲で、AIの悪用は攻撃準備から侵入後運用へ広がりつつある」と読むのが妥当だ。(red.anthropic.com)

今後の防御側の課題は、プロンプト単体の危険判定だけでは足りなくなることだ。危険な一文を見つけるのではなく、複数の無害そうな操作が、環境・ツール・認証情報・自動実行と結びついたときに何を可能にするのかを見る必要がある。生成AIの安全対策は、モデル出力のフィルタリングから、エージェント実行環境全体の監査へ重心を移していく。今回のAnthropicの発表は、その変化をサイバー脅威の実測データから示したものとして読める。