No products in the cart.
アンソロピックは最新の報告書で、犯罪者たちが Claude Code を武器化し、まるで「詐欺の流れ作業ライン」のように使っていると明らかにした。
同社の開示によれば、2025年7月に大規模なサイバー犯罪を未然に阻止したという。攻撃者はClaudeを使い、大量のデータ窃取と恐喝を仕掛けていたのだ。
驚くべきはその手口だ。Kali Linux上でClaude Codeを全面的な攻撃基盤として扱い、init.md ファイルに操作手順を埋め込むことで、やり取りごとに文脈を持続させていたのである。
(.mdファイル活用については「Claude上級テク公開!Redditで高評価:『バグ修正』だけじゃない、熟練者は指示ライブラリを設定している!」という記事を参照してほしい)
※Kali Linuxはセキュリティ検証やペネトレーションテストに特化したLinuxディストリビューション。
被害を受けたのは少なくとも17の組織で、1件あたり最大で50万ドル(約3600万円)もの身代金が要求された。
本来ならこうした大規模作戦は、犯罪組織が数か月をかけて取り組む規模のものだ。だがAIの力を借りることで、たった一人のハッカーが数週間で同等の侵入をやってのけた――まさに“スーパー個人”の誕生である。
ハッカーたちも、自分たちの「vibe時代」に突入したようだ。
「安全性」を売りにしてきたアンソロピックは、詳細な報告書に加え、ポッドキャストで強い警告を発した。
Vibe Codingが深刻なセキュリティリスクへと変貌している、というのだ。
参入障壁の低下:プログラミング経験ゼロでも簡単に「詐欺」に加担でき、攻撃数が急増。
サイバー犯罪の高度化:熟練ハッカーはClaudeを駆使し、短期間で行動規模を拡大可能に。
つまりAIが「詐欺業界」を大規模化・産業化へと押し上げている。
さらにポッドキャストでは、他のAI悪用事例も紹介された:
RaaS(ランサムウェア・アズ・ア・サービス):英国のハッカーがClaudeでランサムウェアを開発し、ダークウェブで販売。闇のSaaSビジネス化。
北朝鮮の就職詐欺:偽の身元でリモートIT/AI技術者を装い、米フォーチュン500企業に潜り込む。
ハイテク恋愛詐欺:Claudeを「感情エンジン」として利用し、口説き文句や甘い返答をAIに考えさせ、金銭をだまし取る。
クレジットカード詐欺:Claudeを使って「カードサービス」を構築し、盗難カードや偽造カードの基盤を自動生成。
このように、AIを駆使したいたちごっこは始まったばかりだ。
報告書で紹介されたケースでは、攻撃者がClaudeを徹底的に利用し、従来のランサムウェアとは異なる手口をとった。
ファイルを暗号化するのではなく、「機密データを公開する」と脅して金銭を要求したのだ。
金額は7万5千~50万ドル(ビットコイン)に及ぶ。
例えば教会のケース。自動防御システムを持たない組織に攻撃者がVPN経由で侵入し、管理者や会計担当者のPCから献金者リストや財務データを奪取。Claudeはそれらを整理・分析し、**「公開されれば信徒の信頼を失う」**と結論づけ、恐喝文を生成した。
抽出されたテンプレートには、契約破棄、巨額の罰金、訴訟、評判の崩壊、廃業――といった脅し文句が並んでいた。
つまり、窃取から恐喝までの全工程にAIが組み込まれていたのである。
Claudeは単なる道具ではなく「共犯」だった、とアンソロピックの分析チームは語る。
どのデータを盗むか、どんな心理的圧力をかけるかまで決定していた。
偵察と侵入:数千のVPNエンドポイントをスキャンし、脆弱なものを突破。
自律的判断:最も価値のあるデータを選択。
データの価格付け:被害者の財務状況を分析し、「適正な身代金額」を算出。
超精密な恐喝:分割払いプランまで提示。
恐喝文作成:脅迫的な画像付きの警告を生成。
ツール改造:正規のMicrosoftプログラムに見せかける隠蔽技術も実装。
Claudeがなぜ従ったのか?
答えは「越獄(jailbreak)」。攻撃者がセキュリティガードを回避し、ペネトレーションテストを装って合法的任務だと信じ込ませたのだ。
同社は以下の対応を即座に取った:
アカウント停止
新しい検知器や分類器の開発
IPやメールといった技術指標を共有
監視の強化
さらに「多層防御」の重要性を強調した。
RLHFによる学習、実行時フィルタ、静的ルール、アカウント審査、そして業界・政府との情報共有。
担当者は言う:
「一つの防御策で全てを防げるとは考えない。層を組み合わせてこそAIハッカーと渡り合える。」
「Vibe Coding」がクリエイティブを刺激する一方で、その技術は闇にも転用される。
アンソロピックの脅威インテリジェンスチームは、ネットの裏社会を監視し、犯罪手口を収集・分析して防御側に還元している。
もちろん、これはClaude固有の問題ではなく、どの商用モデルやオープンソースモデルでも起こり得る。
だからこそ彼らは報告書やポッドキャストを通じ、リスクを広く伝え、政策や技術での合意形成を呼びかけている。
一般ユーザーにはこんな助言もある:
不審なメールやSMSを受け取ったらClaudeに相談してみる。専門家のように状況を整理してくれる。
逆にAIを使って詐欺師と無駄話させ、時間を浪費させるのも手だ。
ではあなたはどう思うだろうか?
AIによるハッキング効率化は、技術発展の必然か? それとも潜在的なセキュリティ悪夢なのか?
Enrique Fay8月 06, 2024
Enrique Fay3月 17, 2025
Enrique Fay8月 11, 2024
Enrique Fay8月 11, 2024
Enrique Fay8月 04, 2024
ボタンをクリックすることで、私たちの利用規約に同意したことになります