Anthropicの攻撃者AIデータが検知に与える意味
ブログを読む
Vectra AI、2026年のガートナー「NDRマジック・クアドラント」においてリーダー企業の一つに選出
レポートを読む
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコンのボトムライン
  1. ブログ
    >
  2. AIセキュリティ

Anthropicの攻撃者AIデータが検知に与える意味

June 18, 2026
6/18/2026
Lucie Cardiet
サイバー脅威リサーチマネージャー
Anthropicの攻撃者AIデータが検知に与える意味

本記事は、ザック・アブズグファビアン・ギヨアレックス・グロイズの共著によるものです

---

2026年6月3日、Anthropic社は「LLM ATT&CK Navigator」を公開しました。これは、同社が悪意のある利用を理由に利用停止処分とした832のアカウントにおける、1年間にわたる実際の攻撃者の活動を、MITRE ATT&CKマッピングしたものです。これは、攻撃者が実際にAIモデルに何を指示しているかを示す、これまでで最も明確な公開データです。私たちはこれを精読し、情報を照らし合わせた結果、検知の観点から重要な2つの点が浮き彫りになりました。

  • まず、攻撃者側のAIの利用は、依然としてプレイヤーの目には見えない場所、つまり攻撃者自身のマシン上で集中しており、そこで防御を突破するためのmalware ツールが開発されています。
  • 第二に、AIが侵害後の行動を支援するために使用される場合、その行動は通常の攻撃者が行う行動と同じであり、ネットワークやIDの検知システムが捕捉するように設計されている行動と同じものです。

この投稿の残りの部分では、データから得られる3つのポイントと、攻撃が自社の環境に到達した際に、検知機能がどの程度機能するかについて解説します。

ポイント1:AIは主に「参入」のために利用されており、その効果は実証されている

このデータセットにおいて、AIの最も一般的な用途は、主にmalwareの作成といった機能の開発であり、調査対象の攻撃者の69%がこれを行っていた。これに僅差で続いたのは、コードの難読化(64.7%)、攻撃者自身のシステムからのデータ抽出(55.9%)、防御機能の妨害(54.9%)であった。防御回避は全体として最も多く見られた戦術であり、攻撃者の84.4%で確認された。

これらを総合すると、全体像が見えてきます。現在利用されている攻撃者AIのほとんどは、エンドポイントの防御を突破して環境内にmalware 構築malware 、ただ一つの目的を追求しています。これは準備段階であり、自社が所有していないインフラ上で行われます自社のネットワークを通過することも、IDプロバイダーに接触することも、ログに記録されることもありません自社が管理していないマシン上でペイロードを書き込んでいるモデルを検知することはできませんし、そもそも検知する必要もありません。

しかし、事前に想定しておくべき結果が1つあります。AIによって攻撃者がEDRを突破する手段をより高度かつ迅速に構築できるようになれば、侵入に成功する攻撃者の数も増えるでしょう。現実的な対応策としては、システムがすでに侵害されていると想定することです。問題は、「何かが侵入してくるかどうか」ではなく、「侵入された際に何を検知できるか」という点に移ります。これは、初期アクセス後に環境内で動作し、シグネチャではなく行動パターンに基づいて検知を行う検出レイヤーにも当てはまります。

ポイント 2:AIはキルチェーンのさらに下流へと進出している

初期のデータはあくまで「その時点の状況」を示すものであり、最終的な結論ではありません。報告書によると、上半期と下半期を比較すると、攻撃者は作戦の後半、つまり侵入後に実施される実際の作業の段階でAIを活用する傾向が見られます。アカウントの発見と自動化された情報漏洩は、いずれも下半期に増加しました。

SOCにとって重要なのはこの点です。なぜなら、 稀な手法こそが危険なものだからです。AIを用いたラテラルムーブメントは、高リスクの攻撃者を示す最も強力な指標でした。この手法を用いた54の攻撃者の平均リスクスコアは56.4で、平均値の46.8を10ポイント近く上回っていました。 手法の観点から見ると、リスクが最も高い攻撃者は、SSHやSMBといったリモートサービス、有効なアカウント、認証情報のダンプ、およびデータのステージングを利用して情報を持ち出していました。これらはいずれも、他の攻撃者と比較して、リスクの高い攻撃者の間で3倍から5倍多く見られました。

ある事例がこれを具体的に示している。Anthropic社は、2025年11月に同社が阻止した、政府機関や重要インフラを標的としたAIによるスパイ活動の背後にいたオペレーター「GTG-1002」について説明している。その手口自体は特筆すべきものではなかった。 他と一線を画していたのは、その「オーケストレーション」だった。オペレーターはKali Linuxマシン上でClaude Codeを実行し、ペネトレーションテスト用ツールをMCPサーバーとして接続した。そして、人間が方向性を示すだけで、モデルにスキャン、脆弱性の悪用による内部ネットワークへの侵入、認証情報の収集、および横方向の移動を行わせた。偵察活動と足掛かりの確保に至るまでのプロセスは、最初からAIによって駆動されていたのである。

Active Directoryの偵察、アカウントの発見、横方向の移動、情報の持ち出し――これらはネットワーク検知が得意とする分野です。こうした後段階の攻撃にAIを活用する攻撃者が増え、その傾向が強まるにつれ、 ネットワークおよびIDの検知の重要性はますます高まるばかりです。

共通点:アイデンティティ

両半期に共通するテーマがあり、それは「アイデンティティ」です。クラウドおよびAIのワークフローは、ユーザー、サービスプリンシパル、マネージドIDを通じて実行されます。Anthropicのデータによると、有効なアカウントは、高リスクの攻撃者と最も関連性の高い手法の一つとして挙げられており、環境内で活動するエージェントも、やはり認証を行い、サービスにアクセスし、アカウントと同様に動作する必要があります。

これが重要なのは、特定の製品インターフェースに依存しないからです。攻撃者が人間であれボットであれ、対象がクラウドコンソールであれAIサービスであれ、その兆候は同じです。つまり、本来使用されるべきではない場所からアクセスされ、これまで利用履歴のないリソースにアクセスし、普段とは異なる挙動を示すIDです。不審なIDや挙動を検知することこそが、この一連の取り組みの集約点なのです。

補償の対象範囲

Anthropicは調査結果をMITREのテクニックIDにマッピングしており、Vectraもすべての検知結果に同じIDを付与しているため、両者は一致しています。危険な攻撃者を特定する「侵害後の手法」については、カバー範囲が広くなっています。AIを多用する初期段階は目視では確認できませんが、AIを活用した攻撃がネットワーク内で活動を開始した瞬間、Vectraが検知するように設計された行動が検出されます。

高リスクな手法 ATT&CK ID お客様の環境ではどのように表示されるか どこに現れるか
リモートサービス(SSH/SMB) T1021 あるアカウントは、過去にやり取りの履歴がないシステムにアクセスするために、管理者プロトコルを使用しています。 不審なリモート実行、不審なリモートデスクトップ、不審な管理者権限
有効なアカウント T1078 通常とは異なるホスト、場所、または通常とは異なるサービスに対して、実アカウントが使用されている 権限の異常(不審なホスト、ホスト上の不審なアカウント、不審なサービス、不審な3要素の組み合わせ)、Azure AD の不審なサインオン、Azure AD のアクセス侵害の疑い
OS認証情報のダンプ T1003 宿主から認証情報を収集する 特権の異常検知
アーカイブ収集データ T1560 データは、送信される前に一時保存され、圧縮されます データ密輸、強奪
リモートサービスの悪用 T1210 ある内部ホストが別のホストにエクスプロイトをプッシュし、次の段階のコードをプルダウンする 自動レプリケーション、ステージローダー
アカウントの検出 T1087 Kerberos、SMB、LDAP、またはRPC によるアカウントの迅速な列挙 Kerberosアカウントスキャン、SMBアカウントスキャン、不審なLDAPクエリ、RPC偵察
自動化された情報漏洩 T1020 信頼できない宛先への大規模な、またはスクリプトによるアウトバウンド転送 強盗、データ密輸業者

ある手法については脚注が必要です。 Webシェルの展開(T1505.003)には、Vectra独自の検知項目はありません。インストールは多くの場合エンドポイント側で行われますが、それによって作成されるコマンド&コントロールチャネルは、「隠されたHTTPSトンネル」または「外部リモートアクセス」として検出されます。ドメイン複製攻撃であるDCSyncおよびDCShadowは、「不審なActive Directory操作」として検出され、VectraではこれをT1207および「認証情報へのアクセス」という戦術にマッピングしています。

GTG-1002もこのパターンに当てはまります。SSHリモートサービス、リモートサービスの悪用、認証情報の収集、および「アーカイブ・アンド・ステージ」といった行動は、オペレーターが人間であるか、MCPサーバーを介して動作するモデルであるかを問わず、これらの検知機能が検出するように設計されているものです。

AIを活用した攻撃者の手口と、それが検知可能になるタイミング

攻撃者AIを1年間使用した結果が、ネットワーク内の行動にどのように反映されるか。

ネットワーク内の動作として検出されました 部分的または隣接するカバレッジ 攻撃者側であり、お客様の環境からは確認できません
ネットワーク内での動作として検出された7つの手法
T1021
リモートサービス(SSH/SMB)高リスク
横方向の移動・最も強力な高リスクマーカー
T1078
有効なアカウント(高リスク)
アクセス
T1003
OS 認証情報のダンプ:高リスク
クレデンシャル・アクセス
T1560
アーカイブされたデータ(高リスク)
コレクション
T1210
リモートサービスの悪用
ラテラルムーブ
T1087
アカウント・ディスカバリー・ライジング
ディスカバリー・今年下半期に上昇
T1020
自動化されたデータ流出の増加
データ流出・今年下半期に増加
部分的または隣接領域をカバーする2つの手法
T1505.003
Webシェル(高リスク
永続性
専用の検知機能はない。この攻撃が生成するコマンド&コントロールチャネルは、依然としてネットワーク上で確認できる。
T1207
Rogue ドメイン制御 (DCSync / DCShadow)
クレデンシャル・アクセス
隣接する認証情報によるアクセス範囲。
AIを多用しているが、攻撃者側のものであり、自身の環境では確認できない5つの手法
T1587
能力を育成する
資源開発 · 関係者の69%
malware (T1587.001)が含まれます。攻撃者自身のマシン上で行われます。
T1027
難読化されたファイルまたは情報
防御回避率 · 64.7%
エンドポイント/攻撃者側。
T1005
ローカルシステムからのデータ
コレクション · 55.9%
エンドポイント/攻撃者側。
T1562
防御を妨害する
防御回避率 · 54.9%
主にエンドポイント/EDRの領域です。
T1055
プロセス注入
防御回避 · 30.3%
エンドポイント/EDRの領域。

出典:Anthropic、LLM ATT&CK Navigator(2026年6月3日)、MITRE ATT&CK にマッピングされた832件のアカウント。各テクニックに基づくVectraの検知結果については、表を参照のこと。

ポイント3:攻撃の背後にある仕組みが見分けにくくなりつつある

初期段階の「死角」がさらに広がることを予想する根拠がある。Anthropicのようなプロバイダーは、自社のモデルが悪用されるのを防ぐため、安全対策、監視、検知に多額の投資を行っており、その能力も向上しつつある。 これに対し、一部の悪意ある行為者は、安全装置が取り外され、プロバイダーによる監視もない、自ら実行可能なオープンソースモデルへと移行する可能性が高い。Navigatorのようなレポートが存在するのは、Anthropicが自社のシステムを把握できるからに他ならない。自己ホスト型モデルにはそのような監視の窓がなく、現時点では、こうした移行動向に対する可視性は極めて低い。

これが、検知の基準をツールではなく行動に据えるべきであるという最も強力な論拠です。あるプロバイダーのデータに基づいたレポートを検知戦略の基盤にすることはできませんなぜなら、次の運用担当者がそのプロバイダーを全く利用していない可能性があるからです。変わらないのは、攻撃者があなたの環境内で実行しなければならない行動そのものです。不審な場所からサインインし、これまで利用したことのないサービスにアクセスするアカウントは、それを操作しているのが人間であれ、フロンティアモデルであれ、あるいはセルフホスト型モデルであれ、その挙動は同じように見えます。 Anthropic社は、ATT&CKがGTG-1002を特異なものにした要素、すなわち機械並みの速度で手法を連鎖させた自律的なオーケストレーションをまだ捉えきれていないことを率直に認め、エージェント的な行動に関するカテゴリを追加することについてMITREと協議中であると述べています。そのような用語体系が確立されるまでは、ツールの名称に依存しない検出手法こそが、信頼できるものとなるでしょう。

変わらないもの

攻撃者は、AIを活用してより迅速に侵入し、侵入後は自ら手を動かして作業を行うケースも増えています。これにより、2つのことが同時に当てはまります。攻撃者のマシン上で起きている部分は目に見えませんが、そもそも目にする必要もありません。 どのツールがそれを生成したかを追いかけるのではなく、ネットワークやIDを横断した挙動を監視していれば、自分のマシン上で起きている部分は確認できます「すでに侵害されている」と想定し、挙動を監視すれば、攻撃者側のAIは問題の進行速度を変えるだけであり、解決策の在り方を変えることはありません。

よくある質問 (FAQ)