AIを活用したサイバー脅威のマッピング：LLM ATT&CKナビゲーターからの洞察

Anthropicは本日、現実世界のAI活用サイバー脅威をMITRE ATT&CKフレームワークにマッピングした新たな報告書を公開し、脅威アクターがどのようにAIを悪用しているかを明らかにした。この分析は、2025年3月から2026年3月の間に利用ポリシー違反で禁止された832のClaudeアカウントに基づいており、合計13,873の悪意ある行動が観測され、ATT&CKの14戦術すべてと482の独自サブテクニックをカバーした。

主な発見の1つは、AIを活用した中〜高リスク攻撃者の割合が1年足らずで33%から56%へと約1.7倍に増加したことだ。この増加は、横方向移動、認証情報ダンプ、Webシェルといった最も有害な活動にAIを使用する攻撃者に集中しており、一般的なコード構築や難読化に留まらない。従来、攻撃チェーン全体を扱えるのは技術的に最も洗練された攻撃者だけだったが、AIがその壁を打ち破りつつある。

報告書はまた、AI活用のネットワーク技術が普及するにつれ、攻撃者のリスクレベルを区別する鍵はモデルに何を依頼するかではなく、攻撃者が構築するエージェンティックなスキャフォールディング（攻撃段階を自律的に連鎖させるコード、アーキテクチャ、ツール）にあると指摘する。Anthropicが2025年11月に阻止したスパイ活動では、攻撃者が使用したテクニック数は中リスクの攻撃者と同程度だったが、AIエージェントによるオーケストレーションにより最大リスクスコア100を達成した。

しかし、現行のMITRE ATT&CKフレームワークは、自律的な攻撃チェーンオーケストレーション、リアルタイムのピボット判断、人間の介在なしのAI実行といった行動をカバーしていない。これらの行動にはまだID番号がなく、脅威インテリジェンスが依存する分類法の拡張が急務である。

リスク評価のために、AnthropicはAIリスク有効化スコア（ARiES）を開発した。これは脅威、脆弱性、影響の3次元（それぞれ0〜35点、0〜35点、0〜30点）からなる加算モデルで、合計0〜100点となる。従来の乗算モデルとは異なり、加算モデルは1つの次元が欠けてもシグナルを保持できるため、意図せず脆弱性を生成したケースやまだ展開されていないマルウェアなど、部分的なリスクシナリオを捉えることができる。

技術面では、最も頻繁に利用されたATT&CKテクニックはT1587（能力開発）で、832の攻撃者のうち69%がAIを利用してマルウェアを開発。次いでT1027（難読化されたファイルまたは情報、64.7%）、T1005（ローカルシステムからのデータ、55.9%）、T1562（防御の無効化、54.9%）が続く。これらのデータは、攻撃者が主にAIを利用して攻撃ツールを構築し、検出を回避し、侵害したシステムからデータを窃取していることを示している。

Anthropicは、これらの発見がClaudeのセキュリティ構築に直接影響を与えており、ハイリスク行動を検出する分類器の更新や、プローブ検出の拡張が行われたと述べている。報告書は、防御側が攻撃側と同等の速度で進化する必要があり、共有フレームワークの更新も同様に急務であると強調している。