低スキルの攻撃者がClaudeとCodexを使用して14社に侵入

サイバーセキュリティ研究者は最近、技術力の低い攻撃者がAnthropicのClaude CodeとOpenAIのCodexという2つのAIエージェントツールを使用して、少なくとも14社に侵入したことを発見した。この事件は、AIエージェントがサイバー攻撃の技術的ハードルを下げる可能性があるという従来の警告を裏付けるものとなった。

OALABS（オープンアナリシス）の研究者は、侵害されたサーバーから1000以上のエージェントセッションログを回収した。攻撃者が自らの運用基盤を適切に管理せず、他者のサーバーにエージェントをコピーしたため、サーバー所有者が侵入を発見し、作業ディレクトリ全体をダウンロードして研究者と共有した。これらのログには、攻撃者のプロンプト、使用ツール、AIの内部思考、およびすべてのポリシー違反が詳細に記録されていた。

分析によると、攻撃者は「これを偵察しろ」といった曖昧な指示を出すことが多く、Claudeエージェントが大部分の技術作業（公開サービスの発見、脆弱性の特定、エクスプロイトコードの作成、アクセス権の検証、データ窃取）を自律的に実行した。攻撃者はリクエストを「許可されたレッドチーム演習」や「サイバーセキュリティ研究」であると偽装することで、エージェントの拒否機構を回避した。成功した侵入ごとに、Claudeは「ペンテストレポート」を作成し、アクセス方法とともに窃取データの「収益化」見積もり（恐喝、アクセスおよびデータ販売、ビジネスメール詐欺、直接の資金窃取など）を提供した。ログには攻撃者が実際に収益化に成功した証拠はない。

攻撃者の運用セキュリティは著しく甘かった。ある時点で、Claudeに自身の履歴書の編集を依頼し、本名、所在地、学歴、LinkedInプロフィールをさらした。また、自身のホストへの侵入を調査中に、自宅のIPアドレスをエージェントに確認してしまった。これらの証拠から、研究者は攻撃者がエチオピアのアディスアベバに住む若い男性であると推測している。

1000以上のセッションを通じて、Claudeはわずか9回、Codexは1回のみポリシー違反を出力し、攻撃者はリクエストを言い換えることでほとんどの制限を回避できた。問題は、ガードレールを回避できるこのような言い回し（「許可されたレッドチーム演習」「サイバーセキュリティ研究」）が、何千人もの正規のセキュリティ専門家が日常的に使用するものと同じであることだ。研究者は、単に拒否範囲を広げるだけでは良い解決策にならないと指摘する。それは防御側よりも攻撃側に有利に働き、攻撃者は制限の緩い旧型モデルに移行できるからである。