AIがついに人類に「牙をむいた」…中国系組織の「サイバー攻撃」は、AIが自律的に実施していた

＜昨年9月に中国系とみられる脅威アクターが世界の30組織を標的に起こしたサイバー攻撃は、従来の攻撃とは一線を画すものだった＞
2025年9月、サイバーセキュリティの情勢は決定的な一線を越えた。AIを活用した、ほぼ自律的なサイバースパイ活動のキャンペーンが初めて広く確認されたのだ。

中国系と目される脅威アクター「GTG-1002」は、米国のAI企業AnthropicのAIコーディングツール「Claude Code」を操作して、テック系や金融系、化学製造系だけでなく、政府部門など世界約30の組織に対し、「自律的」にサイバー攻撃で侵入を試みた。そのうち数件では実際に侵入に成功している。

従来のサイバー攻撃では、AIは「下書き」や「コード作成の補助」に使われる程度だったが、このキャンペーンでは攻撃工程の80〜90%をAIが自動で実行した。人間は戦略的な指示を出すのみで、細かな侵入作業はAIが自律的に判断して進めた。

攻撃者はAIツールの安全制限を回避するために、巧妙なプロンプト（指示文）を使用した。AIに「これは正当な防御テストである」と信じ込ませるなどのソーシャルエンジニアリング的手法で、攻撃制限を突破させた。

このキャンペーンが戦略的に重要なのは、従来、人間のオペレーターが数日、あるいは数週間を要していたサイバースパイ活動をわずか数分に短縮するという、かつてない「スピード」にある。これにより、攻撃者によるリアルタイムの適応や自動化された偵察、そして数十件の並列的な侵入スレッドの維持が可能となっている。

今回の作戦は、新たな脅威を露呈させた。それは「AIシステムに対する直接的なソーシャルエンジニアリング」だ。GTG-1002はベンダーのインフラを侵害したのではなく、プロンプトをいじることで、モデル自体を有害な振る舞いへと強制的に誘導した。

サイバー防御における戦略的な転換点
「人間の時間感覚」から「機械の時間感覚」による運用への移行は、サイバー防御における戦略的な転換点だと言っていい。組織などは今後、攻撃対象領域（アタックサーフェス）の自動監視、予測インテリジェンス、そして自律的な偵察に耐えうるアイデンティティ管理など、AIをつかった攻撃への防御能力を構築する必要があるだろう。

もう少し詳しく見ていきたい。今回検知されたGTG-1002による工作で起動したAIは、インフラ事業者をリストアップし、侵入口となる外部攻撃対象領域を見つけてマッピング、認証フローの調査、脆弱性の特定を行い、世界約30の組織に侵入を試みた。AIシステムが人間の指示をほとんど受けずに複雑な侵入過程の大部分を実行し、動的に戦略を適応させ、人間へ引き継ぐための運用文書まで生成した、初めての記録された事例である。

GTG-1002のキャンペーンは、既存の侵入手法を根本的に変えたわけではなく、「加速」させた。しかし、その実行速度は人間の検知と対応のペースを遥かに上回り、偵察、脆弱性利用、ラテラルムーブメント（横展開）を極めて短時間に圧縮した。

また、最小限の人間オペレーターで複雑な侵入チェーンを指揮できるため、攻撃側の負担が軽減され、数十のターゲットに対して並列的に運用を拡大できるようになった。この「実行速度」「自動化」「並列化」の組み合わせこそが、真のゲームチェンジャーとなるものだ。

まずはAIによる脅威を企業のリスクとして認識することが必要だ。内部で使うAIツールの悪用やプロンプトインジェクション（AIに対する不正な指示）のリスク監視ポリシーを作成する。そして1分間に数千回にもなる「機械スピードの偵察」を監視する。

また、従来通り、パスワードレス認証、ハードウェアベースのMFA（多要素認証）、権限アクセスの徹底することが大事だ。また、異常検知やコード分析、迅速なトリアージ（対応の優先順位の決定）に防御側もAIツールを導入する。

今回のような、動きを代行してくれるエージェント型AIによる攻撃は、サイバー戦における不可逆的な変化だと言っていい。攻撃者は今後、防御を凌駕するペースで侵入を拡大し、戦術を適応させてくるだろう。

防御側はリアクティブ（事後対応的）な戦略を脱し、予測インテリジェンスと機械スピードの可視性を備えたアンティシパトリ（先取り型）な姿勢を採用しなければならない。さもないと対応もままならない。2025年9月のGTG-1002によるキャンペーンは、単なる一過性の事件ではなく、自律型AIアクターが支配する新たな時代の幕開けを告げる「警告」である。

次なるステップとして、貴組織の現在の検知プロセスが「機械の時間」で行われる偵察にどの程度対応できているか、評価を開始することをお勧めする。

指示しとるやないか…