生成式AIが生産性の象徴となる中、ハッカーがClaudeを悪用してメキシコ政府システムに侵入し、150GBの機密データを窃取した事件は、世界のサイバーセキュリティに警鐘を鳴らしている。AIの両刃の剣効果が、サイバー攻撃の新時代を加速させている。
(前提:就職面接が北朝鮮ハッカーの罠に!PurpleBravoが3,100以上のIPアドレスを侵害、AIと暗号通貨企業が最大の標的に)
(背景補足:意外ではない!北朝鮮ハッカーがAIを使った詐欺を開始、LinkedInなどのプラットフォームで「チャットフィッシング」し暗号通貨を窃取)
本文目次
Toggle
Bloombergの報道によると、あるハッカーが生成式人工知能ツールを利用し、メキシコの複数の政府部門システムに成功裏に侵入、150GBに及ぶ機密資料を窃取した。この事件はサイバーセキュリティ研究機関Gambit Securityによって明らかにされ、国際的なサイバーセキュリティ界に衝撃を与え、AI技術の乱用に対する警鐘を再び鳴らしている。
本件は、生成式AIの技術的な強力さを示すだけでなく、その「両刃の剣」的性質も浮き彫りにしている。効率と生産性を向上させる一方で、ネット犯罪の加速要因ともなり得る。
Gambit Securityの分析によると、この攻撃者は従来の手動による悪意のプログラム作成に完全に依存せず、Claudeを大量に活用して攻撃の全工程を進めた。
まず、ハッカーは繰り返し「jailbreak」(脱獄)プロンプトを用いて、Claudeの安全制限を突破し、元々禁止されていた攻撃関連の内容を生成させた。
制限突破後、AIは以下の重要なステップに利用された。
攻撃の全工程は高度に自動化されており、従来は多大な時間と専門知識を要した侵入行動を大幅に短縮し、成功率を高めている。最終的に、ハッカーはメキシコの複数の政府機関から合計150GBの機密ファイルを窃取した。
今回の事件は複数の政府部門に及び、流出した資料は高い機密性と価値を持つ。内容は納税者の個人情報や税務記録、選挙登録情報などだ。これらの情報が悪用されれば、身分盗用や金融詐欺、さらには選挙の公正性にまで影響を及ぼす可能性がある。
現時点では、これらの資料が公開・販売された証拠はなく、メキシコ政府や国際的なサイバーセキュリティコミュニティは厳重に警戒し、調査と防御策を進めている。
この事例は孤立したものではなく、生成式AIツールの「武器化」の最新例の一つだ。従来、ハッカーは脆弱性の調査やコード作成に高い技術を要したが、今や強力な言語モデルの支援により、技術力が限定的な攻撃者でも、短時間で専門的な攻撃ツールを生成できる。
研究によると、AIはシステムの弱点を見つけるだけでなく、攻撃の計画や戦略の最適化も支援し、サイバー犯罪の規模と効率を同時に高めている。
今後、各国政府や企業、AI開発者はより緊密に連携し、モデルの安全設計や異常使用の監視を強化し、全体的なサイバー防御能力を向上させる必要がある。AI時代において、デジタルの境界を守るための取り組みが求められている。