Anthropic がAI悪用攻撃を分析。832件をMITRE ATT&CKにマッピング

📖 この記事で分かること

• Anthropic が1年分のAI悪用サイバー攻撃を分析した結果
• 攻撃準備にAIを使う比率と、リスク上昇の実数
• 自律的に攻撃を進める「エージェント的」脅威の新しさ
• 既存の脅威分類フレームワークの限界と対策の方向

💡 知っておきたい用語

• MITRE ATT&CK:攻撃者の手口を段階ごとに整理した、業界標準の「攻撃手口カタログ」のようなもの。

最終更新日: 2026年6月11日

▶ 公式ページ

• What we learned mapping a year’s worth of AI-enabled cyber threats(Anthropic 公式)

Anthropic が公開したAI悪用の実態

Anthropic は2026年6月3日、自社サービスで悪用が確認されアカウント停止に至った事例を1年分まとめ、攻撃の手口を MITRE ATT&CK フレームワークにマッピングした分析を公開しました。AIが実際の攻撃でどう使われているかを、観測データに基づいて整理した内容です。

この記事のポイント

• Anthropic が2026年6月3日、悪用で停止した832アカウントを分析し、MITRE ATT&CK にマッピングした結果を公開しました。
• 攻撃準備にAIを使った例は67.3%(560件)、リスク中以上の比率は前半6か月の33%から後半56%へ約1.7倍に上昇しました。
• 2025年11月には Claude Code を使い最小限の人手で進む自律的なサイバー諜報が確認され、最大リスク(100)と評価されました。

分析対象は、2025年3月から2026年3月までに悪用で停止された832アカウントです。結果の一部は Verizon の「2026 Data Breach Investigations Report(DBIR)」にも提供されています。観測されたのは「AIが攻撃者の作業をどの工程で肩代わりしているか」という具体像でした。

数字で見る、AIの使われ方

攻撃者がAIを使う場面は、攻撃の「準備段階」に集中していました。

全体の67.3%にあたる560アカウントが、マルウェア作成などの攻撃準備にAIを利用していました。一方で、侵入後にネットワーク内部を横移動する高度な「ラテラルムーブメント」にAIを使っていたのは6.5%(54アカウント)にとどまります。AIはまだ、攻撃の入口づくりで強く効いている段階だと読み取れます。

深刻度の上昇も明確でした。リスクが中程度以上と分類された攻撃者の比率は、観測期間の前半6か月で33%、後半で56%へと約1.7倍に増えています。手口の内訳では、AI支援による侵入後のアカウント探索が8.9ポイント増えた一方、AIを使った初期侵入のフィッシングは8.6ポイント減少しました。攻撃者の関心が「入口の突破」から「侵入後の活動」へ移りつつある兆候です。

技術スキルと手口の数の関係も変化していました。低スキルの攻撃者が平均16種類の手法を使ったのに対し、高スキルの攻撃者は平均20種類。差は依然あるものの、AIの支援によって「スキルが低くても多くの手法を扱える」状況に近づいています。

自律的に動く攻撃と、既存フレームワークの限界

今回の分析で Anthropic が特に重視したのが、AIが攻撃工程を自律的につなぐ「エージェント的オーケストレーション」の登場です。

2025年11月に確認された国家支援とみられるオペレーションでは、Claude Code を用いて最小限の人間の関与でサイバー諜報が実行されました。従来の MITRE ATT&CK の指標で測ると中リスク相当に見えたものの、自律性の高さを踏まえ Anthropic はリスク100(最大)と評価しています。

ここに既存フレームワークの限界が現れます。MITRE ATT&CK は攻撃の各段階を分類できますが、それらを自律的に連鎖させて進める「エージェント的な振る舞い」を表す区分を持ちません。手口の一覧では同じでも、人手をほとんど介さず一連の攻撃を回す主体は、実際の危険度が大きく異なります。

対策としてAnthropic は、高性能モデルにマルウェア開発や大量データ窃取を検知するサイバーセーフガードを実装し、MITRE とフレームワーク改訂に向けた協議を始めたとしています。

編集部の見方

防御側の観点で見ると、この分析の価値は「AIがどこで効いているか」を実データで切り分けた点にあります。準備段階に67.3%が集中するという数字は、入口対策(マルウェア検知・初期侵入の遮断)への投資が引き続き要であることを裏付けます。

評価の枠組みという観点では、より構造的な論点が残ります。手口の数や種類で危険度を測る従来の発想は、自律性という軸を取りこぼします。同じ手口の一覧でも、人が逐一操作する攻撃と、AIが工程を自走させる攻撃では、実害のスピードもスケールも変わります。脅威評価に「どれだけ自律的か」という軸を加える必要性は、今後ほかのプラットフォームにも共通する課題になりそうです。

提供者側の透明性という観点では、自社モデルが悪用された事例を数値とともに開示し、業界標準フレームワークの改訂協議まで踏み込んだ姿勢は、防御側に判断材料を渡す動きとして評価できます。

まとめ

AIはまだ攻撃の準備段階で強く使われている一方、リスクの高い攻撃者の比率は半年で約1.7倍に増えました。人手を介さず工程を自走させる自律的な攻撃の出現は、手口の数で危険度を測る既存の評価軸に見直しを迫ります。観測データに基づくこの開示は、防御側が次の投資先を判断するうえで具体的な手がかりになります。

よくある質問

Q: 今回の分析対象は何ですか?

A: 2025年3月から2026年3月までに、Anthropic のサービスで悪用が確認されアカウント停止に至った832件です。手口を MITRE ATT&CK フレームワークにマッピングして傾向を整理しています。

Q: AIは攻撃のどの段階で使われていますか?

A: 攻撃準備の段階が中心です。全体の67.3%(560件)がマルウェア作成などの準備にAIを利用し、侵入後の高度な横移動への利用は6.5%にとどまりました。

Q: 「エージェント的オーケストレーション」とは何ですか?

A: 攻撃の各工程を、人手をほとんど介さずAIが自律的に連鎖させて進める振る舞いです。既存の MITRE ATT&CK には対応する分類区分がない、と Anthropic は指摘しています。

【用語解説】

• ラテラルムーブメント: 攻撃者が最初に侵入した端末から、ネットワーク内の別の端末やサーバへ移動して権限や情報を広げる動き。
• MITRE ATT&CK: 攻撃者の手口を偵察・初期侵入・横移動などの段階ごとに整理した、防御側が参照する標準的な知識ベース。
• DBIR: Verizon が毎年公開するデータ侵害の調査報告書。今回の分析結果の一部も提供されている。

引用元:

• [1] What we learned mapping a year’s worth of AI-enabled cyber threats(Anthropic)
• [2] MITRE ATT&CK(MITRE)

この記事について: AI 支援で執筆、編集部が事実確認・編集しています。誤りや追加情報があれば Contact よりお知らせください。