身元不明のハッカー、Claude悪用してメキシコ政府にサイバー攻撃 膨大な個人情報を窃取 海外報道
ハッカーがAIチャット「Claude」を悪用してメキシコ政府機関にサイバー攻撃──米Bloombergは2月25日、そんな内容を報じた。イスラエルのサイバーセキュリティ企業であるGambit Securityの調査で判明。この攻撃により、納税者や有権者の膨大な機密データが窃取されたという。
Gambit Securityが発表した報告書によると、身元不明のハッカーはスペイン語のプロンプトを用いてClaudeにエリートハッカーとして振る舞うよう指示。政府ネットワークの脆弱性の発見や悪用スクリプトの作成、データ窃取の手順の自動化などを行わせた。
この攻撃は2025年12月に始まり約1カ月間続き、1億9500万件の納税者記録や有権者記録、公務員の認証情報、住民登録ファイルなど、計150GBの政府データが盗み出されたという。それらの個人情報をどう利用したかは現時点では不明としている。
標的となったのは、メキシコの連邦税務局や国立選挙管理機関の他、メキシコ州やハリスコ州、ミチョアカン州などの政府、メキシコシティーの市民登録局、モンテレイの水道局など多岐にわたる。Gambit Securityは「特定の攻撃グループを特定していないが、外国政府が背後にいるとは考えていない」としている。
ハッカーは当初、脆弱性を探るバグバウンティ(報奨金制度)のペネトレーションテストを装ってClaudeに指示を出していた。ログや履歴の削除といった不審な要求に対してClaudeが警告を発し拒否する場面もあったが、最終的にハッカーが詳細な手順書を与えることで安全対策をすり抜けるジェイルブレイクに成功し、政府のネットワーク上で数千のコマンドを実行させた。
また、Claudeが問題に直面した際には、OpenAIのChatGPTを併用してネットワーク内の横断方法や必要な認証情報の特定、検知される確率の計算などの追加情報を得ていた。
Anthropicの担当者によると、同社はGambit Securityの指摘を受けて調査を行い、攻撃を阻止して関連アカウントを停止した。悪用事例はClaudeにフィードバックして学習させており、最新モデル(Claude Opus 4.6)では不正利用を防ぐための対策が組み込まれているという。
OpenAIはポリシー違反の試みを検知し、同社のツールはこれらの試みに応じることを拒否したと述べている。また該当アカウントを停止したとも声明を出している。
メキシコ当局は12月に複数の公的機関でのデータ侵害を調査中とする短い声明を発表したが、今回のClaudeを用いた攻撃との関連は明確ではない。国立選挙管理機関やモンテレイの水道局などは、それぞれの管轄内での最近の不正アクセスや侵害の事実を否定している。
Copyright © ITmedia, Inc. All Rights Reserved.
この記事の著者
関連記事
こんなメディアも見られています
ITmedia AI+に関連する情報をお探しであれば、こちらのメディアもお役に立てるかもしれません。
SpecialPR
よく見られているカテゴリー
アクセスランキング
-
1
日立、Anthropicと提携 グループ29万人に「Claude」などAI導入 社会インフラ分野にも展開へ
-
2
生成AIで3Dモデルを自動作成 専門スキル不要でテキストや画像から3D化
-
3
伊藤忠商事や三菱ケミカルなど16社が参画 大手企業の「暗黙知」を活用する新プロジェクト
-
4
「AIデータセンターの電力需要が急増」はホント? 発電大手Jパワー社長が明かした“報道との温度差”
-
5
「家庭教師のトライ」が学力診断にAI活用 20問解くだけで弱点を推定 生徒と講師の負担減らす
-
6
みずほFGが実現 2週間かかるAIエージェント開発を最短数日にする仕組みとは?
-
7
「最新のAI創薬ラボ」なのに会議室みたい!? 製薬大手がラブコール送る“異色のAI企業”による新拠点とは
-
8
OpenAI、「ChatGPT」に個人向け資産管理機能 金融口座と連携
-
9
話題の「Claude Mythos」、なんて読む? 「ミトス」か「ミソス」か、はたまた「ミュトス」か
-
10
最新AI「Claude Mythos」がSFすぎる件 研究者の作った”牢”を脱出、悪用懸念で一般公開なし──まるで映画の序章
SpecialPR
ITmedia AI+ SNS
@itm_aiplusをフォロー
インフォメーション
注目情報をチェック
ITmedia AI+をフォロー
あなたにおすすめの記事PR