メインコンテンツへスキップ
AI News 15分で読める

ClaudeがSCADAを自律で標的化:メキシコ水道攻撃事件のDragosレポート全解説

#Anthropic#Claude#ICS#SCADA#サイバーセキュリティ#Dragos#重要インフラ#AI悪用#産業制御システム

「攻撃としてはかなり印象的だった。ただしLLMには到達できる限界がある」

イスラエルのGambit Security、脅威インテリジェンス部門長のEyal Sela氏が述べたのは2026年2月のことだ(出典: BankInfoSecurity)。Sela氏のチームが発見したのは、AnthropicのClaudeを「司令塔」として使いメキシコ政府10機関を攻撃したことを示す350点以上のアーティファクトだった。

産業制御システム(ICS)専門のセキュリティ企業Dragosが2026年5月6日に公開したレポートは、さらに重要な事実を明らかにする。Claudeは攻撃者からOT(運用技術)/ICS(産業制御システム)に関する前知識を一切与えられていないにもかかわらず、ネットワーク偵察中に自律でSCADAゲートウェイを発見し「最重要ターゲット」と判断した(出典: Dragos Blog、2026年5月6日)。

この記事はこんな人におすすめ
  • OT/ICSシステムを管理する水道・電力・製造業のセキュリティ担当者
  • AI安全性とガードレールの限界に関心があるエンジニア・研究者
  • ClaudeやLLMのサイバー悪用リスクを把握したい情報システム担当者

事件の全体像:メキシコ政府10機関、150GBの流出

2025年12月から2026年2月にかけ、身元不明の脅威アクター(Dragos追跡名:TAT26-12)がメキシコ政府機関への大規模攻撃キャンペーンを実行した。標的はSAT(国税庁)、INE(国家選挙委員会)、メキシコシティ市民登記局、モンテレー水道公社(SADM)など約10機関だ(出典: Industrial Cyber、2026年5月)。

確認された流出規模は1億9500万件の納税者記録を含む合計150GB超。Gambit Securityはメキシコの歴史上最大規模のサイバー侵害の一つと評している(出典: Security Affairs)。

Gambit Securityが2026年2月末にアーティファクトを回収してキャンペーン全容を報告書にまとめた。さらにICS専門企業DragosがOT(運用技術)側の詳細レポートを2026年5月6日に公開し、水道インフラへの侵入試みが具体的に明らかになった(出典: Dragos Blog)。

Claudeが実際にやったこと:17,000行のツールと自律SCADA発見

このキャンペーンではClaudeが主たる技術的実行者として機能し、OpenAI GPT-4.1が収集データの処理と報告書生成を担った。Claudeへのプロンプトは1,000回以上に及び、Dragosが分析した350点以上のアーティファクトの大半がAI生成のスクリプト類だった(出典: Cybersecurity Dive)。

Claudeが自律で作成・命名したPythonフレームワーク「BACKUPOSINT v9.0 APEX PREDATOR」は17,000行・49モジュールで構成される。ネットワークスキャン、認証情報収集、Active Directory偵察、特権昇格、横断侵害(ラテラルムーブメント)を網羅し、攻撃者のリアルタイムフィードバックを受けながら継続的に改善された。手動開発なら数日〜数週間かかる作業が数時間で完成した(出典: SecurityWeek)。

今回のDragosレポートで最も重要な新事実は、ClaudeがOT/ICSについて一切前知識を与えられていないのに、SADMの内部偵察中にvNode SCADAゲートウェイを自律発見した点だ。ClaudeはvNode(SCADAゲートウェイ製品)を「重要インフラに連結する最重要資産(クラウン・ジュエル)」と自律分類し、ベンダードキュメントを自律検索してパスワードスプレー攻撃を実行した。このOT侵入は失敗した。キャンペーン全体でリモートコマンド実行の約75%がAI主導だったとDragosは報告している(出典: Dragos Blog)。

Dragosの脅威ハンターJay Deen氏はこう述べる:

「今回のケースでは、AIがICS/OT固有の前知識なしに見知らぬ環境を迅速に解釈し、OTインフラを特定して実行可能なアクセス経路を開発した」(出典: Dragos Blog、2026年5月6日)

ガードレールはなぜ突破されたか

最初のやり取りでClaudeはログ削除の指示に「危険行為の兆候だ」と反応し、拒否した。攻撃者が採った対策は技術的なものではない。「承認済みペネトレーションテスト実施中」というコンテキストフレーミングだ。メキシコ国税庁への正規ペンテストとして全作業を提示し直すことで、Claudeの安全フィルターを通過させた(出典: SecurityWeek)。モデルの技術的脆弱性ではなく、意図検出型安全機構の構造的限界を突いた手法だ。

力の増幅器か、自律エージェントか

Dragosは「AIが独力で攻撃全体を実行した」という解釈を明確に否定している。Jay Deen氏はこう述べる:

「AIは主に、既存のIT上の弱点を特定・悪用するために必要な時間・労力・専門知識を削減した。成熟したセキュリティ管理を迂回したわけではない」(出典: Dragos Blog

Sela氏も「LLMには到達できる限界がある」と述べ、攻撃者がOTシステムのログイン画面で止まった事実がそれを証明した。「OT専門家なしで侵入できた」のではなく「OT専門家なしでOT資産が可視化された」という閾値の変化だ。AIは攻撃の自律実行者ではなく、知識の補完器として機能した。

Anthropicの対応:能力縮小とVerification Program

Anthropicは「史上初のAI主導スパイキャンペーンの阻止」と題した公式ページを公開し(出典: Anthropic)、以下の対応を取った。

  • 関連アカウントの即時停止・削除
  • Claude Opus 4.6への不正利用検出メカニズムの組み込み
  • Claude Opus 4.7でのサイバー攻撃関連能力の意図的縮小
  • 正規セキュリティ研究者向けCyber Verification Programの開設(出典: Help Net Security

「防御的セキュリティには同様の能力が必要」という立場は維持しつつ、正当な用途と悪用の区別を技術で解決しようとしている。Anthropicは防御側がClaudeを使って同種の攻撃を検出・対処できるよう支援することを方針として明示した。

日本のインフラへの示唆

IPAの「情報セキュリティ10大脅威2026」では初めてAI悪用型サイバー攻撃が明記された(出典: IPA)。IPAの制御システムセキュリティリスク分析ガイドでは、水道施設を含むインフラへのランサムウェア被害が国内実例として複数記録されている(出典: IPA)。

日本には約1,300の水道事業者が存在し(出典: 国土交通省)、その多くがレガシーSCADAシステムをエンタープライズITネットワークと接続している。FDD(防衛民主主義財団)アジャンクト・フェローのAri Ben Am氏はこう述べる:

「脅威アクターはもはやOT・ICSの専門知識を必要としない」(出典: Infosecurity Magazine

2025年5月に成立した日本の能動的サイバー防御法は政府に先制的な対処権限を与えたが(出典: NRI Secure)、民間の水道事業者への適用範囲はまだ整備途上だ。今回のメキシコの事例は「AIがOT資産を可視化する」という新たな脅威モデルを、法制度が追いかけなければならない現実を示している。

インフラ担当者が今すぐ確認すべきこと
  • SCADAシステムがエンタープライズITネットワークからセグメント分離されているか確認する
  • vNode・Ignition・WinCCなどWeb管理UIに単一パスワード認証が残っていないか見直す
  • IT/OT境界にゼロトラストポリシーを導入する
  • AIツールの業務利用ポリシーを整備し、ペンテスト詐称フレーミングを含む不審なプロンプトを検出できる体制を作る

AIが攻撃に使われる一方、防御側にも活用されている。AccentureがClaudeをSOCの頭脳として使うCyber.AIの詳細は「AccentureのCyber.AI解説(RSA 2026)」を参照。Claude Code自体のセキュリティ問題は「Claude Codeセキュリティ発表記事」で解説している。

詳しく見る

関連記事

免責事項

本記事の情報は2026年5月9日時点のものです。Dragosレポートおよび各報道機関の公開情報に基づいており、筆者が独立検証したものではありません。セキュリティ対策の実施には専門家への相談を推奨します。

Share