7月15日、Cybersecurity Newsが「Chinese Hackers Embed Claude Code and DeepSeek in AI-Powered Government Cyberattacks」と題した記事を公開した。セキュリティ研究機関Hunt.ioの調査により、中国系と疑われるハッカーグループがAnthropicのClaude CodeとDeepSeekを政府機関への実攻撃フローに直接組み込んでいたことが判明した——開発者向け生産性ツールが、フィッシング生成からエクスプロイト適応まで「攻撃の実動部隊」として機能していたという事実は、AIセキュリティの議論に新たな局面をもたらす。
背景:Anthropicはすでに警告していた
Anthropicは2025年11月のセキュリティ勧告で、中国系脅威アクターが悪意ある開発者ツールを使って大規模な自動インフラ侵害を試みていたことをすでに警告していた。今回Hunt.ioが公開した調査レポートは、その延長線上に位置する具体的事例として注目される。
攻撃者のオペレーターログには簡体字中国語の開発者コメントが含まれており、香港の通信インフラを経由していたことも確認されている。Hunt.ioの研究者はこれらを根拠に「中国系オペレーターによる国家的情報収集ミッションとの関連」を指摘しているが、元報告書においても帰属は**"suspected"(疑われる)扱い**であり、国家レベルでの直接的な関与が確定しているわけではない点は留意が必要だ。
AIが「研究補助ツール」ではなく「攻撃エンジン」になった
今回のキャンペーンが従来と大きく異なるのは、商用AIプラットフォームを単なる情報収集に使うのではなく、攻撃フローのコア部分に直接埋め込んでいた点だ。オペレーターログの解析から、2つのLLMに明確な役割分担があったことが判明している:
- Claude Code(実行・自動化): エージェント型のツール操作、bashコマンドの実行、セッション持続性の維持を担当。Claude CodeはAnthropicが提供するターミナル上で動作するAIコーディングエージェントであり、ファイル操作やコマンド実行を自律的に行える点が悪用された。
- DeepSeek(推論・攻撃ロジック): 高レベルの攻撃戦略立案、スクリプト生成、セキュリティ回避ロジック、エクスプロイト適応を専任で担当。なお元記事タイトルには単に「DeepSeek」と記載されており、具体的なバージョン名の詳細は元記事の原文を参照されたい。
特に注目されるのは、中央のCLAUDE.mdというワークスペースファイルに詳細な指示が記述されており、自動エージェントがフィッシングインフラを構築・テスト・動的最適化するよう設計されていた点だ。2026年6月8日〜12日のオペレーションタイムラインが記録されており、台湾向けの情報収集を目的とした専用の作業環境が確認されている。
インフラ構成:13サーバー、並列C2フレームワーク
Hunt.ioの研究者はHTTPヘッダーのフィンガープリントを糸口に調査を拡大し、香港の4つの異なるAS(自律システム)にまたがる13台の主要サーバーからなるインフラネットワークを特定した。
主要収集ノード112.213.124[.]132には、以下の多層的な攻撃ツールキットが搭載されていた:
- ARLフレームワーク(Asset Reconnaissance Lighthouse):攻撃対象のサブドメイン・ポート・サービスを自動列挙するネットワークマッピングツール
- DeepAudit:脆弱性スキャンと特定を担う解析ツール
- Vshell:エージェント型のリモートアクセスと管理を行うC2(Command & Control)フレームワーク。Go言語製で検知を回避しやすい設計として知られる
さらにこのノードには、2,431件の窃取済みファイルを含むオープンリポジトリも置かれていた。
調査ではさらに、これまで文書化されていなかった第2のC2フレームワーク「Gshell」も発見された。TencShell(ポート1111番でのHTTP通信を特徴とするカスタムバックドア)と同一インフラ上で並列稼働しており、オペレーション稼働時間を最大化するための冗長構成が取られていた。3つの主要ノードはSSHキーとTLS証明書を共有し、フェイルオーバー層を形成していた。
標的は台湾・タイ・アフガニスタン・米国
攻撃は4カ国の政府・金融機関に及んでいた:
| 標的国・セクター | 侵害ベクター | 攻撃内容 |
|---|---|---|
| 台湾 | サプライチェーン・製造業(8社) | 化学企業へのSQLインジェクション、クラウドトークン(Supabase/Azure SASキー)の窃取 |
| タイ | 政府管理アプリ | SQLMapによる国民IDレコードのダンプ、GIFポリグロットWebシェルの設置 |
| アフガニスタン | Laravelベースの公開アプリ | 市民苦情データベースと暗号鍵をRCE経由で窃取 |
| 米国 | 公共機関サブドメイン | NASAサブドメインのフットプリンティング、D.C.市議会・ペンシルベニア州デラウェア郡を標的にしたフィッシングクローンの準備 |
| 金融サービス | 決済処理基盤 | CORS脆弱性を悪用したWordPress管理者認証情報の窃取(欧州・豪州・アジア) |
「デュアルユースAI」の安全保障上のリスク
本件でエンジニアが注目すべき本質的な問題は、攻撃インフラの規模でも標的の多様さでもなく、商用AIが攻撃フローにアクティブに統合されたという事実だ。
Claude CodeもDeepSeekも、本来は開発者向けの生産性ツールである。それが今回、フィッシング生成・エクスプロイト適応・セッション管理という「攻撃の実動部隊」として機能した。AIエージェントが持つ「自律的に環境を操作し続ける能力」——これは開発者の生産性を高める同じ特性でもある——が、サイバー攻撃における戦力乗数として機能し始めたことを、今回の事例は具体的に示している。
調査チームはこの活動を「重大なパラダイムシフト」と表現している。AIの「デュアルユース」問題はこれまでも議論されてきたが、今回は実際のオペレーションログと攻撃インフラが具体的な証拠として示された点で、従来の議論とは重みが異なる。AIプロバイダー側の利用規約による制限だけでなく、インフラレベル・モデルレベルでの悪用検知の仕組みをどう構築するかが、業界全体の課題として改めて浮き彫りになった事例といえる。
詳細はChinese Hackers Embed Claude Code and DeepSeek in AI-Powered Government Cyberattacksを参照していただきたい。