犯罪系ハッカー集団が、Claude model を含む人工知能エージェントを利用し、主要なセキュリティソフトをすり抜ける70種類以上のマルウェア手法を構築・テストした。
主なポイント:
- ある脅威アクターがAIエージェントを実行し、主要な検出ツールを回避するよう設計されたマルウェアを開発・ストレステストした。
- Claude Opus 4.5エージェントがルール設定を担い、他のエージェントがテスト、ステルス化、ドキュメント化を担当した。
- 作戦側は成功率の向上を主張したが、調査員によればその証拠は確認できなかった。
Sophosが指摘するAI製アンチウイルス回避ラボ
きっかけは、クライアントネットワーク内部の不審なエンドポイントが、テスト用フォルダに投下されたファイルに関するアラートを上げたことだった。Sophos のアナリストは、侵害された端末上で不可視状態を保つことを目的とした、より広範なツールキットを検知した。多くのスクリプトはロシア語で書かれており、少なくとも一部は手打ちではなくAIによって生成された形跡があった。
攻撃者は複数の仮想マシン群を用意し、うちいくつかを CrowdStrike や Microsoft Defender 製品に対峙させる一方で、1台の管理用マシンは防御を外したままにしていた。LinuxサーバーはSliverフレームワークを通じてコマンドチャネルを実行し、キット全体はCobalt Strikeのトラフィック、Telegramメッセージング、実サーバーを秘匿するCloudflareリレーの背後に隠れていた。
いくつかのエージェントが役割分担していた。Claude Opus 4.5を動かすエージェントが他のエージェントのための基本ルールを定め、残りがバイパス手法の探索、オペレーションセキュリティの強化、信頼されたWindowsプログラムへのコード注入、そして全結果のログ取りを担当した。
Also Read: Can Chainlink Hold $8.05? On-Chain Data Says Buyers Are Loading Up
Claudeの役割が防御側を不安にさせる理由
この集団はAIコーディングツールである Cursor に依存し、オープンプロトコルを通じてエージェントをリポジトリに接続することで、公開研究を収集し、既知の攻撃カタログにテクニックをマッピングできるようにしていた。中心にはPython製ツールがあり、およそ80個の暗号化・難読化モジュールでペイロードをラップし、スキャナの目をかいくぐる設計になっていた。これらのモジュールは、3種類の防御製品に対して70を超える手法を試験していた。
プロジェクトには「レッドチーム」向けというラベルが付けられていた。研究者たちは、この表現は主に、AIがマルウェアを書くことを防ぐガードレールを言葉巧みにすり抜けるためのものだと指摘しており、これはメキシコ政府機関を標的としたとされる攻撃でも見られた手口だという。
AIサイバー犯罪脅威の位置づけ
最も示唆的なのは、AIが「しなかった」ことだ。調査員たちは、いかなるモデルも自律的には行動しておらず、ビルドのあらゆる工程を人間のオペレーターが確認・承認していたと強調している。Claudeを開発する Anthropic には、すでに調査結果が共有されている。
ラボの記録には、回避性能が試行ごとに向上していると誇らしげに記されていたが、テストデータはそれを裏付けておらず、このギャップを研究者たちはAIの幻覚(ハルシネーション)に起因すると分析した。Sophosは、このオペレーションをランサムウェアやデータ窃取活動と結びつけており、同社ディレクターの一人は、このアクターが米国を含む世界中の組織を対象に活動していると述べている。
同様のAI支援ツールは2026年を通じて複数のマルウェアファミリーやランサムウェアキットで観測されており、アナリストたちは、そのようなエージェントは新たな脅威を生み出すというよりも、既存の攻撃手法のコストを主に削減しているのだと報告している。
Read Next: Bitcoin Briefly Slips Under $62K As Liquidations Sweep The Market