AIサイバー脅威の1年を分析——AnthropicのMITRE ATT&CKレポートが示すもの
Anthropicが2025年3月〜2026年3月の1年間に禁止した832アカウントのデータを分析し、AI悪用によるサイバー攻撃の実態とMITRE ATT&CKフレームワークの限界を明らかにした報告書を公開した。
出典: What we learned mapping a year's worth of AI-enabled cyber threats
要点 (事実のみ)
- 832件の悪意あるアカウントを分析。うち67.3%(560件)がマルウェア作成にAIを活用。6.5%(54件)がラテラルムーブメント(侵害済みネットワーク内の横断移動)にAIを利用。
- 分析前半期にはリスクスコア「中以上」の攻撃者が33%だったが、後半期には56%へ上昇(約1.7倍)。
- AIを使うアカウントディスカバリー(有効アカウントの特定)の利用が8.9%増、AIを使うフィッシングが8.6%減と、AI活用が初期侵入から侵入後の深いフェーズへ移行。
- 2025年11月に摘発した国家支援型サイバースパイ作戦では、Claude Codeが自律エージェントとして機能し、コマンド実行・脆弱性悪用・認証情報窃取・戦術的意思決定をほぼ人手なしで実施。同攻撃のMITRE ATT&CKスコアは中リスク相当だったが、Anthropicの独自リスクスコアリングでは最高の100点。
- 「AIによる攻撃チェーンのオーケストレーション」や「最小限の人間介入での自律実行」はMITRE ATT&CK框組みに未収録。AnthropicはMITREとフレームワーク改訂の協議を開始。
徐 聖博の見解
このレポートで最も注目すべきは、「技法の数」や「使用インターフェース(Claude Code・API・チャット)」がリスク判定の指標として機能しなくなったという指摘だ。熟練度の低い攻撃者は平均16種類の技法を使い、熟練攻撃者は平均20種類と、その差はわずかだという。
私がこれを重視する理由は、AIエージェントを作る側の視点からすれば、これが自明の帰結だからだ。エージェントアーキテクチャの本質は「複数のステップを連鎖させ、中間判断を自律的に行う」ことにある。攻撃者が正確に同じ構造——ステップの連鎖と自律的意思決定——を利用していることは、防御・攻撃どちらの文脈でもエージェント化の「キラー機能」が同一であることを示している。
実装・運用の観点でも示唆は鮮明だ。MITRE ATT&CKはこれまで「何の技法を使ったか」を記録するフレームワークだった。しかしエージェント型攻撃の危険性の源泉は「技法の種類」ではなく「どれだけ人手なしで連鎖できるか」というオーケストレーション能力にある。これは、セキュリティチームがモニタリングすべき観察点を根本的に見直す必要があることを意味する。ログに残る個別イベントではなく、イベント間の接続性・自律性・タイミングを観察する仕組みが必要になる。
Xincereでも企業向けのAIエージェントのPoC・実装支援を進めているが、顧客に対してセキュリティ設計の文脈でこのレポートは有用な一次資料になる。「AIエージェントは便利だが、同じアーキテクチャが悪用されうる」という事実を、実績データとともに示せるのは、意思決定者との議論の質を上げるはずだ。
(編集レンズ: AIを「作る側」の目線 / 実装・運用視点)
