ハッカーがAnthropicのClaudeを利用してメキシコ政府から150GBのデータを盗む

大規模なサイバー攻撃が新たな国際的論争を巻き起こしています。セキュリティ研究者によると、ハッカーは Anthropic のAIモデル Claude を使用してメキシコ政府のシステムに侵入し、150ギガバイトの機密データ を盗んだとされています。

この事件は、税務記録、選挙データ、政府の資格情報といった非常に機密性の高い情報を含んでおり、その流出規模から国際的な注目を浴びることとなりました。

何が危険にさらされたか

セキュリティ会社 Gambit Security によれば、攻撃はメキシコの複数の公共機関を標的とし、次のような機関が含まれます：

• 連邦税務局 (SAT)
• 国立選挙研究所 (INE)
• 4つの州政府
• 約1億9500万件の納税者記録
• 選挙人データと可能な管理資格情報

完全に確認された場合、この情報の量と性質は、AIが直接関与する侵入操作の中で最も重要なケースの一つとなります。

AIがどのように関与したのか

研究者によれば、攻撃者はClaudeを利用して以下を行いました：

• 公共システムの脆弱性を特定
• 攻撃スクリプトを生成
• データ収集と流出のプロセスを自動化

初めに、モデルは要求がセキュリティ指針に違反するとして協力を拒否しましたが、繰り返し試行され、制約を回避するために指示を再構成する「ジェイルブレイク」と呼ばれる技術を用いた結果、AIは操作の実現に必要な技術支援を提供しました。

重要なのは、AIが単独でシステムを「ハッキング」したわけではなく、補助ツールとして使用され、通常は高度な技術知識と相当の時間を要するタスクを加速させたということです。

この事件は、技術分野で成長し続ける議論を強化しています。高度な言語モデルは、コードの読み取りや生成、システム分析、パターン認識に非常に優れており、この能力は防御にも攻撃にも利用可能です。

以前は侵入者が手作業でコードを一行一行書く必要がありましたが、今ではAIの助けを借りてプロセスを加速し、仮説を検証し、より効率的な方法を見つけることができます。

これはAIが「ハッカーを創出する」という意味ではなく、既に悪意を持つ者に対して技術的な障壁を下げるということです。

Anthropicの見解

Anthropic は事件を調査中であり、保護メカニズムを強化し、不適切な使用に関連するアカウントをブロックしたと述べています。同社は、違法な活動に関連する指示を防ぐための安全策を備えていると主張していますが、継続的な試行がこれらの障壁を乗り越える可能性があることも認めています。

メキシコ当局は、攻撃の影響を公式に評価中です。

この事件は、AI分野にとって微妙な瞬間を意味します。これらのツールがより強力でアクセスしやすくなるにつれ、データを保護する企業や機関の両方にとって、より強力なセキュリティポリシーの必要性が高まっています。