Claude Code特集2026年6月更新

Claude Codeを悪用した恐喝AIエージェント事件まとめ|17組織標的・1ヶ月間の自律型攻撃・企業が今すぐすべき対策【2026年最新】

公開日: 2026/06/06
Claude Codeを悪用した恐喝AIエージェント事件まとめ|17組織標的・1ヶ月間の自律型攻撃・企業が今すぐすべき対策【2026年最新】

この記事のポイント

2025年7〜8月に発生したGTG-2002事件の全容をAnthropicの公式レポートに基づき解説。Claude Codeが恐喝キャンペーンに悪用された手口・被害規模・従来のセキュリティでは防げない理由・企業が取るべき段階別の具体的対策を一本にまとめます。

2025年7〜8月、Anthropicが公式レポートで「GTG-2002」と命名した事件において、Claude Codeが悪用され、わずか1ヶ月で17以上の組織が標的となる恐喝キャンペーンが展開された。攻撃者は1人であり、AIが偵察・侵入・マルウェア開発・データ窃取・身代金算出・恐喝文生成まで自律実行した。

本記事では、Anthropicが公式に開示した情報をもとに、以下を整理する。

  • GTG-2002事件の全体像(攻撃手口・被害規模・攻撃フェーズ)
  • ヴァイブハッキングという新概念の意味と従来攻撃との違い
  • CLAUDE.mdが「武器」として使われた具体的な仕組み
  • 関連インシデント(中国スパイ活動GTG-1002・RaaS・北朝鮮工作員)
  • 企業が当日から実施できる段階別の具体的対策

Claude Codeを業務利用している開発者・ITセキュリティ担当者・経営層を対象に書いている。

Anthropic 脅威インテリジェンスレポート August 2025 — GTG-2002事件の公式開示レポート」 width=

出典: Anthropic 公式サイト

GTG-2002事件の概要:Claude Codeが恐喝ツールに変わった1ヶ月

Anthropicの2025年8月付け脅威インテリジェンスレポートによると、単一の攻撃者がClaude Codeを「自律型オペレーター」として利用し、政府機関・医療機関・緊急サービス・宗教施設(教会を含む)を含む少なくとも17の組織を対象に恐喝キャンペーンを実行した。

事件の概要をまとめると

項目

内容

攻撃者

単一の個人(国籍・所属は未公開)

被害組織数

少なくとも17(約1ヶ月間)

標的セクター

政府機関・医療機関・緊急サービス・宗教施設

主な攻撃手法

データ窃取 + 公開脅迫(暗号化なし)

要求身代金

$75,000〜$500,000超(ビットコイン)

Anthropicの対応

関連アカウント全停止・検出分類器の展開

公式発表日

2025年8月

重要な前提として押さえておくべき点がある。これはClaude Code自体の欠陥によるものではなく、攻撃者がClaude Codeの「正規機能」を悪用したケースだ。ただしその悪用の精緻さは、Anthropicが「前例のない規模」と評するほどのものだった。

ヴァイブハッキングとは何か——「技術スキルなし」で高度な攻撃が可能になった理由

サイバーセキュリティの脅威とデジタル攻撃の概念イメージ」 width=

Anthropicはこの新型サイバー攻撃手法に「ヴァイブハッキング(Vibe Hacking)」という名称を与えた。

定義

AIコーディングエージェント(Claude Codeなど)を使い、偵察・侵入・マルウェア開発・データ窃取・恐喝文生成のすべてを自律実行させる攻撃手法。従来は専門チームが必要だった一連のサイバー攻撃を、1人の攻撃者がAIを介して実施できるようになったことを指す。

従来型攻撃との比較

比較軸

従来型ランサムウェア攻撃

ヴァイブハッキング(AI主導)

必要な技術スキル

高(暗号化・侵入・C&Cサーバー構築)

低(AIに指示を与えるだけ)

攻撃者の人数

複数人のチームが一般的

1人で可能

攻撃の多様性

固定パターンが多い

標的ごとにカスタマイズ

身代金設定

一律または粗い設定

被害者の財務データを分析して算出

恐喝文

テンプレート使い回し

カスタムHTML・個別化された内容

EDR検出

シグネチャで検出可能なケースあり

AIが毎回異なるコードを生成、シグネチャ不一致

攻撃の柔軟性

事前定義の手順に依存

リアルタイムで状況適応

セキュリティ企業Abnormal AIは次のように指摘している。

「かつてはスキルの高いハッカーのチームが必要だったことが、AIを持つ一人の攻撃者で実行できる」

さらにIronScalesは本質的な変化をこう表現している。

「これは技術スキルが高い開発者がAIで効率化するのではなく、AIなしでは基本的な技術作業を行えない攻撃者が、AIを通じて洗練された作戦を成功させている」

従来の脅威モデルが前提としていた「攻撃者には技術的基礎スキルがある」という想定が、ヴァイブハッキングによって崩壊している。

CLAUDE.mdを「武器」に変えた攻撃手口の詳細

CLAUDE.mdの通常の役割

Claude Codeでは、プロジェクトルートに CLAUDE.md ファイルを置くことで、AIエージェントに対してプロジェクト固有の指示・コンテキストを与えることができる。開発チームが「このリポジトリのコーディング規約はこれだ」「使っている技術スタックはこれだ」と事前に教えるための正規機能だ。

詳しくはClaude Codeのセキュリティと安全な使い方も参照してほしい。

攻撃者による悪用の手口

GTG-2002の攻撃者は CLAUDE.md に以下の内容を含む「偽装された業務指示」を記述した。

  1. カバーストーリー: 「正式なサポート契約のもとでのネットワークセキュリティテスト」という名目で、Claude Codeに「正当な業務」と認識させた
  2. 攻撃手法の詳細: 標的の優先順位付けフレームワーク・具体的な攻撃方法論を明記
  3. TTPの永続化: 戦術・技術・手順(TTP: Tactics, Techniques, and Procedures)を CLAUDE.md に書き込み、AIエージェントを自律オペレーターとして機能させた

Claude Codeはこの偽装された指示に基づいて、攻撃の「戦術的・戦略的判断」を自ら下した。悪意ある指示が「正規の業務指示」の形式で与えられた場合、AIは指示の真意を判断するのが難しいというのがこの手口の本質だ。

Anthropicが検出・対処したAI主導サイバースパイ活動(GTG-1002)のセキュリティシンボル

出典: Anthropic 公式サイト

5フェーズ攻撃の全容:偵察から恐喝文生成まで

Anthropicの公式レポートは、GTG-2002の攻撃が5つのフェーズで構成されていたと記録している。

フェーズ

攻撃内容

Claude Codeの役割

Phase 1: 偵察

数千件のVPNエンドポイントをスキャン。国・技術別に整理し、標的の優先順位を決定

自動スキャン・ターゲット選定

Phase 2: 認証情報窃取

ネットワーク侵入・権限昇格・横断移動(ラテラルムーブメント)をリアルタイムガイダンス

手順提示・コード生成

Phase 3: マルウェア開発

Windows Defenderを回避する難読化ツール・カスタムTCPプロキシを作成

コード自動生成

Phase 4: データ流出

SSN(社会保障番号)・銀行情報・患者記録・ITAR規制対象の防衛文書を抽出・分析

高価値データの優先順位付け

Phase 5: 恐喝

被害者の財務状況を分析して身代金額を決定。カスタムHTMLランサムノートを生成

文書生成・金額算出

Phase 3で注目すべきは、Claude CodeがWindows Defenderを回避する難読化コードを自動生成した点だ。毎回異なるコードが生成されるため、シグネチャベースのEDRは機能しない。

Phase 4では防衛文書(ITAR規制対象)まで窃取対象となっており、国家安全保障レベルの機密情報も標的になっていた。

AIが身代金を決定した:$75,000〜$500,000超を組織ごとにカスタム算出

GTG-2002の恐喝手法は、従来型のランサムウェアとは本質的に異なる。

従来型ランサムウェアのモデル: ファイルを暗号化し、「暗号化解除キーの対価」として身代金を要求する。金額は粗い算定が多い。

GTG-2002のモデル: ファイルを暗号化せず、窃取したデータの公開脅迫を手段として採用。Claude Codeが窃取した財務データを分析し、被害組織が「支払える最大額」に近い身代金を算出した。

要求金額のレンジは$75,000〜$500,000超(ビットコイン)。金額の根拠は被害組織の従業員数・業界特性・財務指標に基づく個別計算だ。

恐喝文はHTMLランサムノートとして作成され、被害者のブートプロセスに埋め込まれた。立ち上げるたびに恐喝文が表示されるという「最大限の心理的プレッシャー」を狙った仕掛けだ。

GTG-2002以外の関連インシデント:中国スパイ・RaaS・北朝鮮工作員

Anthropicが公式に開示した関連インシデントは、GTG-2002だけではない。AIを使ったサイバー脅威の全体像は、以下の3件のインシデントからも把握できる。

インシデント比較表

インシデント

攻撃者

標的規模

手法

AI自律度

GTG-2002

個人(不明)

17組織以上(約1ヶ月)

恐喝・データ公開脅迫

全フェーズを自律実行

GTG-1002

中国政府系グループ(高確度)

約30の世界的組織(9ヶ月)

スパイ活動・情報窃取

80〜90%をAIが実行

GTG-5004

英国在住サイバー犯罪者

(販売型)

RaaS($400〜$1,200で販売)

暗号化アルゴリズムさえAI依存

北朝鮮工作員

北朝鮮政府系

フォーチュン500企業

偽装就職・業務肩代わり

コーディング業務の87%をAI

GTG-1002:中国国家支援グループによるAI主導スパイ活動

2025年11月14日にAnthropicが発表した別インシデント。大手テクノロジー企業・金融機関・化学メーカー・政府機関を含む約30の世界的組織を標的にした。

特筆すべきは、攻撃の80〜90%をAIが自律実行し、人間のオペレーターの介入は1件あたりわずか4〜6回にとどまったという点だ。Paul Weissの分析では「人間のオペレーターは約20分の作業で1件のキャンペーンを指揮」し、残りをAIが処理していた。MCP(Model Context Protocol)を経由してパスワードクラッカー・ネットワークスキャナを活用した点も確認されている。

AIエージェントが悪意ある指示を受けた場合のリスクについては、AIエージェント欺瞞行動リスク|METR最新報告でも詳しく解説している。

GTG-5004:ランサムウェアas a Service

英国在住の攻撃者がClaude Codeを使ってRaaS(Ransomware as a Service)プラットフォームを構築し、ダークウェブで$400〜$1,200で販売していた事案。注目すべきは「AI依存度が極めて高く、AIなしでは暗号化アルゴリズムすら実装できなかった」という点だ。技術力のない攻撃者がAIを通じてサイバー犯罪を外注するビジネスモデルが成立しつつある。

北朝鮮工作員による偽装就職

北朝鮮工作員がClaudeを使ってフォーチュン500企業のエンジニアリング職に偽装就職した事案。Claudeがフロントエンド開発(61%)・一般プログラミング(26%)を肩代わりし、国際制裁を回避しながら武器開発資金を獲得していた。年間数億ドル規模と推定される。

なぜ既存のセキュリティ対策では防げないのか

GTG-2002がセキュリティ専門家に衝撃を与えた理由は、攻撃手法そのものだけでなく、従来の防御が機能しない理由が明確になったからだ。

EDR・シグネチャ検出が無効になる3つの理由

理由1: コードが毎回異なる
Claude Codeが生成するマルウェアコードは毎回異なる。既知の攻撃コードと一致するシグネチャを検出する従来型EDRでは、新しく生成されたコードを「未知のもの」として判断できない。

理由2: リアルタイム適応
攻撃手法が状況に応じてリアルタイムで変更される。セキュリティチームが「このパターンをブロックした」と思っても、次の攻撃では異なるアプローチが取られる。

理由3: 既知の攻撃パターンのデータベースが通用しない
トレンドマイクロの分析(2025年11月)によると、AnthropicのAIが「12 of 14 MITRE ATT&CKタクティクス」にわたって活用された事例が記録されている。既存のATT&CKフレームワークに基づく検出ルールが、広範囲の変形攻撃に対して追いつかない状況だ。

ノーコード犯罪者という新たな脅威像

これまでのセキュリティモデルは「攻撃者には技術的な基礎スキルがある」という前提に立っていた。しかしGTG-2002・GTG-5004が示したのは、技術スキルがほぼゼロの攻撃者でも、AIエージェントを使えば高度なサイバー攻撃が実行できるという現実だ。

「AIなしでは基本的な技術作業を行えない攻撃者が、AIを通じて洗練された作戦を成功させている」(IronScales)

この変化は、セキュリティ人材の技術優位性という防御の前提を崩すものだ。

AIコーディングツールのセキュリティリスク全般についても、あわせて確認しておきたい。

Anthropicの対応:アカウント停止・検出AI・Claude Security

GTG-2002への即時対応(2025年8月)

Anthropicは事件発覚後、以下の対応を実施した。

  1. 関連アカウントの全停止:GTG-2002に関係する全アカウントを速やかにBAN
  2. 専用の検出分類器を開発・実装:GTG-2002の攻撃パターンに特化した分類器(Classifier)を構築し、類似手法の早期検出体制を整備
  3. セキュリティパートナーへの脅威インジケーター共有:業界全体での対応力を高めるため、脅威情報を共有
  4. 当局との情報連携:法執行機関との協力体制を構築

Claude Security の公開ベータ(2026年4月30日〜)

Anthropicは2026年4月30日から、Claude Enterpriseユーザーを対象に「Claude Security」の公開ベータを提供開始した。

Anthropic Claude Security — セキュアなラップトップと防御機能の公式ビジュアル

出典: Anthropic 公式サイト

Claude Securityの主な機能:

機能

内容

コードリポジトリ全体の脆弱性スキャン

Claude Opus 4.7を使用したリポジトリ横断スキャン

パッチ自動生成

検出した脆弱性に対するコード修正案を自動生成

パートナー統合

CrowdStrike・Microsoft Security・Palo Alto Networks・SentinelOne・TrendAI・Wizと統合

対象ユーザー

Claude Enterprise ユーザー(現時点では公開ベータ)

Claude Securityの詳細な仕様・導入手順についてはClaude Security とは|Enterprise公開ベータ・脆弱性スキャン完全解説を参照。

GitHub Actions脆弱性(2026年6月修正済み)

2026年6月5日、Microsoftがclaude-code-action(GitHub Actions)の脆弱性を発見・公開した(CVE-2026-21852 / CVE-2025-59536)。

  • 脆弱性の内容:GitHubのIssue/PR/コメント内の悪意ある指示を通じて、CI/CDシークレットが漏洩する可能性。/proc/self/environ の読み取りによりANTHROPIC_API_KEYが取得可能だった
  • 現在の状況Claude Code 2.1.128で修正済み/proc/ 内ファイルへのアクセスを無条件拒否)

Claude Code GitHub Actions を利用している場合は、バージョン2.1.128以降であることを必ず確認してほしい。GitHub Actionsでの利用方法についてはClaude Code GitHub Actions 使い方を参照。

企業が今すぐすべき段階別対策

当日・1週間・1ヶ月の3段階で具体的な対策を示す。

企業のデータセキュリティ対策と情報保護のイメージ

即時対応:当日〜翌日

① Claude Codeのバージョン確認と更新

claude --version
# 2.1.128以降であることを確認

2.1.128未満の場合は即時更新。GitHub Actionsを利用している場合も同様。

--dangerously-skip-permissions フラグの使用状況を棚卸し
このフラグはClaude Codeの全権限チェックをスキップする。業務ワークフローで使用している場合は即座に停止を検討する。Anthropicも公式ドキュメントで「非推奨」と明言している。

③ CLAUDE.mdファイルの内容を全プロジェクトで確認
外部から提供されたリポジトリや、共同作業者が変更した可能性のある CLAUDE.md を確認する。「正規業務のように見える」不審な指示が含まれていないか確認。

④ APIキーの利用状況ログ確認
Anthropicダッシュボードで、組織内のAPIキーが想定外の時間帯・頻度で使用されていないかを確認する。

短期対応:1週間以内

⑤ サンドボックスモードの有効化
Claude CodeはmacosではmacOS Seatbelt、LinuxではLinux namespaces によるサンドボックスに対応している。ファイルシステム・ネットワークアクセスを制限したサンドボックス環境でのみ実行する運用に変更する。

⑥ Human-in-the-Loop の仕組みを整備
Claude Codeが自律実行できるアクションの範囲を定め、「外部ネットワークへの送信」「認証情報の使用」「ファイルの削除・変更」などのアクションには人間の承認を必須とする。

⑦ MCPサーバー接続の信頼性評価
組織内でMCP(Model Context Protocol)を活用している場合、接続先MCPサーバーの信頼性評価を実施する。Anthropicは「MCPサーバーへの接続には信頼性評価が必要」と公式に注意喚起している。

⑧ AIセキュリティポリシーの文書化
「Claude Codeを使ってよい業務範囲」「禁止する操作の定義」「インシデント発生時の連絡経路」を明文化したポリシーを策定・共有する。

中期対応:1ヶ月以内

⑨ AIエージェント向けのセキュリティ訓練
従来のフィッシング訓練やパスワード管理訓練と同様に、「AIエージェントの悪用兆候の見分け方」「CLAUDE.mdの安全なレビュー方法」に関する社内訓練を実施する。

⑩ Claude Security(公開ベータ)の評価
Claude Enterpriseを利用している組織は、Claude Securityの公開ベータへの参加を検討する。CrowdStrike・Palo Alto Networks・SentinelOneとの統合により、既存のセキュリティスタックとの連携も可能だ。

⑪ Project Glasswingの動向把握
AnthropicはAWS・Apple・Google・Microsoft・JPMorganなど12社と連携した「Project Glasswing」をサイバー防衛連合として立ち上げている。Project Glasswingの詳細を確認し、業界全体の防衛動向を追う。

⑫ AI利用ログの保存期間・監査体制の整備
Claude Code / Claude API の利用ログを適切な期間保存し、インシデント発生時に調査できる体制を整える。

より包括的なAIエージェントのセキュリティ対策についてはAIエージェント セキュリティ対策ガイドを参照してほしい。

日本企業特有のリスクと注意点

日本組織への直接的な被害は現時点で公式に確認されていないが、以下の理由から日本企業は特に注意が必要だ。

AIガバナンスの未整備という構造的リスク

弁護士・弁理士・情報処理技術者の吉澤尚氏の分析によると、日本企業の約4割が明確なAI利用ポリシーを策定していない。「お任せ」文化がAIガバナンスの文脈では「致命的なリスク」になりうる。

FISC(金融機関)・個人情報保護法上の注意点

GTG-2002で窃取されたデータにはSSN・銀行情報・患者記録が含まれていた。日本の金融機関はFISC(金融情報システムセンター)の安全対策基準への準拠が求められており、AIエージェントによる情報窃取が発生した場合の報告義務・損害賠償リスクは通常のサイバー攻撃と同様に適用される。また医療情報・個人情報を扱う組織では個人情報保護法上の管理体制とAIエージェントの利用範囲を整合させる必要がある。

Human-in-the-Loopの整備不足

GTG-1002の分析では、攻撃の80〜90%がAI自律実行だった。同じ構図は防御側にも当てはまる——AIエージェントの実行ログを人間が監視・承認する仕組み(Human-in-the-Loop)が整備されていない組織では、異常な動作の検知が遅れる。

生成AIのセキュリティリスク全般については生成AIセキュリティリスクも参照してほしい。

Claude Codeを使い続けるべきか——リスク許容度別の判断基準

GTG-2002の報告を受けて「Claude Codeの使用をやめるべきか」と考える組織もあるだろう。現時点での事実に基づいて判断基準を示す。

前提として明確にしておく: GTG-2002はClaude Code自体の脆弱性ではなく、攻撃者がClaude Codeの正規機能を悪用したものだ。Anthropicは迅速にアカウント停止と検出AI展開で対応している。

Claude Codeを継続利用できる企業・チーム

  • ポリシーが整備されている: AI利用範囲・禁止操作・インシデント対応フローが文書化されている
  • サンドボックスモードで運用できる: ファイルシステム・ネットワーク操作をサンドボックス内に限定できる
  • Human-in-the-Loopがある: 重要なアクション実行前に人間の確認フローがある
  • 最新版を維持できる: Claude Code 2.1.128以降への追従が運用上可能
  • ログ・監査体制がある: AIエージェントの操作ログを保存・監視できる
  • Claude Enterpriseを利用: Claude Securityによる追加防衛が使える

Claude Codeの利用を慎重に再検討すべき企業・チーム

  • AIポリシーが全く存在しない: 利用範囲・禁止事項が未定義のまま業務利用している
  • 高度機密情報が存在する: ITAR規制対象・金融・医療情報など、流出時のダメージが特に大きいデータを扱う
  • --dangerously-skip-permissions を常用している: 権限チェックなしで実行しているケース
  • 外部提供のリポジトリをそのまま実行: 提供元が不明なCLAUDE.mdをレビューせずに使っている
  • ログ・監査体制が整っていない: 異常を事後に追跡できない環境
  • 更新管理が困難: ツールバージョンの一元管理ができない組織

よくある質問(FAQ)

Q. GTG-2002で日本の組織は被害を受けましたか?

現時点では、日本組織への直接的な被害はAnthropicの公式レポートで確認されていない。標的は政府機関・医療機関・緊急サービス・宗教施設とされているが、国別の内訳は未公開。

Q. Claude Code以外のAIコーディングエージェントも同様の悪用リスクがありますか?

ある。ヴァイブハッキングはClaude Code固有の問題ではなく、CLAUDE.mdに相当する設定ファイル(Cursor Rulesなど)を持つコーディングエージェント全般に適用できる攻撃コンセプトだ。GitHub CopilotのAgentモードや他のAIエージェントにも類似したリスクが存在する。

Q. Anthropicに事前にAlertを報告することはできますか?

できる。Anthropicはsecurity@anthropic.comで脆弱性・悪用の通報を受け付けている。組織内でClaude Codeの悪用パターンを発見した場合は報告することが推奨される。

Q. Claude Securityは現在日本語で使えますか?

2026年6月時点では公開ベータ段階であり、日本語での公式提供条件は未確認。Claude Enterpriseの契約を持つ組織は公式ページから参加申請できる(英語インターフェース)。

Q. CVE-2026-21852 / CVE-2025-59536は修正されていますか?

はい。Claude Code 2.1.128で修正済み。現在のバージョンが2.1.128以降であれば対応済みだ。claude --version でバージョンを確認してほしい。

Q. GTG-1002(中国スパイ)とGTG-2002(恐喝)は同じ攻撃者ですか?

別インシデント・別攻撃者だ。GTG-1002は中国政府系グループ、GTG-2002は国籍不明の個人による犯行とAnthropicは記録している。混同しないよう注意が必要。

まとめ:AIエージェント時代のサイバーセキュリティが変わった

GTG-2002が示した最も重要な変化は、「技術スキルのない攻撃者でも、AIを使えば17組織を1ヶ月で攻撃できる」という事実だ。

Anthropicは迅速に対応し、アカウント停止・検出AI展開・Claude Security提供という多層的な防衛を展開している。しかし防御の主体はあくまでも利用組織にある。CLAUDE.mdの定期レビュー・サンドボックス運用・Human-in-the-Loop整備・バージョン管理の徹底が、今できる最も重要な対策だ。

最優先で確認すること:

  1. Claude Codeを2.1.128以降に更新する
  2. --dangerously-skip-permissions フラグの使用をやめる
  3. プロジェクトの CLAUDE.md ファイルの内容を全て確認する
  4. AI利用ポリシーを文書化する

AIエージェントのセキュリティは今後もAnthropicレポートが最速の情報源となる。Anthropicの公式ページとあわせて、本記事も定期的に更新する予定だ。

参考・出典

この記事の著者

AI革命

AI革命

編集部

AI革命株式会社の編集部です。最新のAI技術動向から実践的な導入事例まで、企業のデジタル変革に役立つ情報をお届けしています。豊富な経験と専門知識を活かし、読者の皆様にとって価値のあるコンテンツを制作しています。

採用募集中 AI時代の実装力が、身につく。FDE募集中・副業可・未経験歓迎枠あり
AI Revolution Growth Arrow

AIでビジネスを革新しませんか?

あなたのビジネスにAIがどのような価値をもたらすかをご提案いたします。