記事のサマリー(TL;DR)
- 832件の悪意あるアカウントを分析した結果、6か月間で中〜高リスク攻撃者の割合が33%→56%(約1.7倍)に増加
- AIは「初期アクセス獲得」から「侵入後の横断的移動・権限昇格」へと用途がシフト。従来の技術数ベースのリスク評価が機能しなくなった
- MITRE ATT&CKフレームワークはAIによる自律型エージェント攻撃を識別する技術IDを持たず、Anthropicが改訂に向けてMITREと協議中
国内セキュリティ担当者・情シスが押さえるべき実務ポイント
本レポートで最も注目すべき変化は、AIが「初期侵入」の補助ツールから「侵入後の深部行動」を自律実行するエージェントへと進化しつつある点です。日本企業のセキュリティ運用では、MITRE ATT&CKベースのSOAR/SIEMルール整備が一般的ですが、今回の分析が示すように、技術数・使用ツール・インターフェース(APIかチャットか)はリスク指標としての精度を失いつつあります。
国内でもゼロトラスト移行やEDR導入が進んでいますが、侵入後フェーズ(アカウント探索・ラテラルムーブメント・権限昇格)をAIが自律実行するシナリオへの対応はSOC体制に直接影響します。特に「人間の介入なしにコマンド実行・脆弱性悪用・認証情報窃取を行うエージェント」に対してはATT&CKのIDがまだ存在せず、既存の検知ルールでは捕捉できない死角が生じています。kintoneやSalesforce、業務SaaSのAPI接続が増える環境ではラテラルムーブメントの経路が広がるため、エージェント型攻撃を前提とした脅威モデルの見直しが必要です。
詳細
AIはどのように攻撃者を危険にするか
Anthropicは2025年3月から2026年3月の1年間に悪意あるサイバー活動でBANした832アカウントを詳細分析し、その結果をMITRE ATT&CK(サイバー攻撃者の戦術・技術データベース)にマッピングしました。この832件は該当期間のBAN総数の一部ですが、攻撃者の手法を詳細に評価できる情報が揃っていた事例です。一部の結果はVerizonの「2026 Data Breach Investigations Report(DBIR)」にも掲載されており、より詳細な分析を同社Frontier Red Teamブログで公開しています。
最も多く確認されたAI活用はマルウェア作成です。832件中560件(67.3%)がこの目的でAIを使用していました。より高度な活動としては、54件(6.5%)が「ラテラルムーブメント(横断的移動)」にAIを活用していました。ラテラルムーブメントとは、侵害済みネットワーク内部を深く移動する行為です。
リスクレベルの変化も顕著です。分析の最初の6か月では、独自のリスクスコアリングシステムで「中リスク以上」と分類された攻撃者は全体の**33%でした。しかし次の6か月では56%**へと上昇し、約1.7倍の増加を記録しました。
攻撃サイクル内でのAI活用フェーズも変化しています。アカウント探索(侵害済み環境内での有効アカウントの特定)へのAI活用は8.9ポイント上昇した一方、フィッシング(初期アクセス獲得手段)へのAI活用は8.6ポイント低下しました。これは、攻撃者がAIを攻撃ライフサイクルのより後期・深部で活用するようになっていることを示しています。
こうした「侵入後」の技術は従来、高度な技術力を持つ攻撃者に限られていました。しかし今回の調査は、AIが技術力の低い攻撃者の代わりにこれらの行動を実行できるようになっていることを示しています。
脅威レベルの評価が難しくなった理由
セキュリティチームは従来、攻撃者が使用する技術の数・使用するツール・インターフェースなどを手がかりにリスクレベルを評価してきました。しかし今回の分析は、こうした指標が正確なリスク評価を反映しなくなってきていることを示しています。
AIが高度な技術的タスクを攻撃者の代わりに実行できるようになった結果、攻撃者のスキルと使用技術数の間にはほとんど相関がありません。データセット内で最もスキルの低い攻撃者は平均約16種類の技術を使用しており、最もスキルの高い攻撃者は平均約20種類と、差は僅かでした。同様に、使用プラットフォーム(Claude Code、API、チャットインターフェース)もリスクレベルとは相関しませんでした。
高リスク攻撃者を識別する有効な手がかりは、攻撃ライフサイクルのどのフェーズでAIを活用するかです。高リスク攻撃者は、アカウント探索・ラテラルムーブメント・権限昇格といった、多大な時間・監視・リアルタイムの意思決定を要する「オペレーション負荷の高い技術」にAIを集中させています。初期アクセス獲得だけに使うのではなく、です。
ただし、このシグナルも既に薄れつつあります。前述のとおり、より広い攻撃者層がまさにそのオペレーション技術へと向かっているからです。より耐久性のある識別指標は、攻撃者がモデルの周囲に構築するスキャフォールディングの種類です。高リスク攻撃者は、モデルが攻撃チェーンの個別ステップを順番につなぎ合わせ、最小限の人間の介入で実行できるアーキテクチャを設計しています。
セキュリティフレームワークを更新すべき理由
最高リスク攻撃者を特徴づける多くの行動——AIを使って攻撃チェーンのステップを順次オーケストレーション、次の行動についてリアルタイムで意思決定、人間の介入なしで実行——は、現時点ではMITRE ATT&CKフレームワークに攻撃者の技術として含まれていません。
2025年11月にAnthropicが摘発した国家支援によるサイバースパイ活動を例に挙げます。この事例では、悪意ある攻撃者がClaude Codeを操作し、世界中のターゲットへの侵入を試みました。人間の介入はほとんどありませんでした。
この攻撃をMITRE ATT&CKフレームワークでマッピングすると、13の戦術にわたる30の技術が使用されており、データセット内の多くの中リスク攻撃者と同程度の数値です。使用技術数だけを見ると、この攻撃者の真の危険性が過小評価されます。一方、Anthropicのリスクスコアリング手法を適用すると、この攻撃には最高スコアの100点が付与されます。
この攻撃ではモデルが自律エージェントとして機能していました。コマンドの実行、脆弱性の悪用、認証情報の窃取、戦術的な意思決定を行い、人間の介入が必要だったのはごく一部の重要な局面だけでした。この種のエージェント型オーケストレーションにはATT&CKのIDが存在しません。しかし、AIエージェントの能力が向上するにつれ、こうした行動は今後大幅に増加すると見られています。
今後の取り組み
今回の分析結果は、Anthropicがモデルに組み込むセーフガードの開発に活用されています。たとえば、最も能力の高いモデルに対してサイバーセキュリティのセーフガードを開発・導入し、マルウェア開発や大規模なデータ持ち出しといった今回発見された活動の一部を検知・ブロックできるようにしました。
Verizonとの共同研究に続き、AnthropicはMITREとATT&CKフレームワークが今回観察したAI対応行動を含むように進化させる方法について協議を進めています。
フロンティアモデルは攻撃者と防御者の双方が使えるツールを急速に変化させています。Anthropicは防御者がこうした進化する戦術の先手を取れるよう支援することを継続し、最も強力なツールをまず防御者の手に届けることにコミットしています。Project Glasswingから学んだこと、今回収集したようなデータセット、そのほかのサイバーセキュリティ活動で得た知見を引き続き共有していきます。
Anthropicのレッドチームブログでは、攻撃者が使用した技術のインタラクティブな可視化ツールも公開されており、防御者がAI対応の脅威に先手を打てるよう支援しています。