2026年6月3日、Sophos Counter Threat Unit(CTU)は公式ブログ「Pointing a Cursor at evading detection」において、AIエージェント技術を悪用してActive Directory(AD)偵察とエンドポイント検知・応答(EDR)回避を自動化する脅威アクターの詳細な分析を公表しました。
最大のリスクは攻撃の「工業化」にあります。このアクターは「レッドチームフレームワーク」と称した仮想マシン環境に、Cursor(AIネイティブIDE)とClaude Opus 4.5を中心とする複数のAIエージェントを組み込み、Sophos・CrowdStrike・Microsoft Defenderのそれぞれを標的にしたEDR回避技術を反復自動テストするマルウェア製造ラインを構築していました。スクリプトの多くがロシア語で記述されており、Sophosはこのアクターをランサムウェアおよびデータ窃取の実運用と連携していると判断しています。Sophosが強調する重要な点は「AIが参入障壁を下げても、防御の基本原則は変わらない」ということです。
サマリー
Sophos X-Ops が顧客テナントの異常なエンドポイントを検知。C:\Users\User\Documents\testから発生するペイロードへのアラートが調査の起点
攻撃インフラ:Cobalt Strike(C2ビーコンを正規Webトラフィックに偽装)・Telegram Bot API経由のC2・Python製シェルコード注入スクリプト・Cloudflare Workerリダイレクター(C2バックエンドを隠蔽)を組み合わせた多層構成
AIツール:Ludus(VM管理プラットフォーム)でプロビジョニングした仮想マシン環境に、AIネイティブIDEのCursorを使用。主要AIエージェントとしてClaude Opus 4.5を採用
ラボ構成:Windows Server 2022の複数VM(Sophos用・CrowdStrike用・EDRなし制御用)とUbuntu上のSliver C2サーバー。約80モジュール・70以上の技術を反復テスト
AIエージェントはKaspersky・Palo Alto Networks・Bishop Fox・SpecterOpsのセキュリティブログを取り込み、手法をMITRE ATT&CKにマッピングして再現。コミットはMCP(Model Context Protocol)経由でGitへ自動送信
アクターはAIの利用を「レッドチームフレームワーク」と偽ってClaude のガードレールを意図的に回避しようとした。SophosはこれをAIの安全機能に対するソーシャルエンジニアリングとして記録
ただし「EDR回避がほぼ100%成功」というエージェントの自己報告をSophosは完全には支持していない
スクリプトの多くはロシア語で記述。Sophos CTUはこの開発活動を既知のランサムウェア展開・データ窃取運用に結びつけている
発見の経緯——C:\Users\User\Documents\testが開いたパンドラの箱
Sophosの公式ブログ「Pointing a Cursor at evading detection」によれば、調査のきっかけは顧客テナント内の異常なエンドポイント登録でした。このエンドポイントがC:\Users\User\Documents\testというディレクトリから発生するペイロードに対してアラートを生成しました。
このディレクトリの調査で見つかった複数の悪意あるファイルは、単体のマルウェアではなく「より広範な攻撃フレームワーク」の一部であることが判明しました。発見されたコンポーネントは次の4種類です。
Cobalt Strikeプロファイルは、C2通信のビーコントラフィックを正規のWebリクエストに見せかける設定で構成されていました。Telegram Bot APIベースのC2機構は、直接接続を使わずTelegramのインフラを経由することでC2通信を隠蔽します。Pythonベースのシェルコード注入スクリプトは、正規のWindows実行ファイルの機能を保持しながらその内部に悪意あるコードを埋め込む設計でした。Cloudflare Workerリダイレクターは、C2バックエンドの実際のインフラを隠蔽するために展開されていました。
さらにデバイス上のPythonスクリプトの多くがロシア語で記述されており、AIによって部分的に生成されたことも確認されています。
AI搭載マルウェア製造ラブの全容——Cursor・Claude Opus 4.5・MCPによる自動化
詳細に記録した攻撃フレームワークの中核は、AIエージェントを使った反復的なEDR回避マルウェアの開発・テストの自動化です。
環境の構築
アクターはLudus(VMプロビジョニングプラットフォーム)と、AIネイティブIDE「Cursor」を使用して開発環境を構築しました。仮想マシン環境には以下の4つのVMが設置されています。Windows Server 2022(Sophosエージェント向けバイパステスト用)・Windows Server 2022(CrowdStrikeエージェント向けバイパステスト用)・Windows Server 2022(EDRなしの制御環境)・Ubuntu(Sliver C2サーバー稼働用)。
この構成により、攻撃者は実際のEDR製品(Sophos・CrowdStrike)を模した本物の環境でマルウェアのEDR回避能力を実際にテストし、失敗したら修正・再テストするというフィードバックループを回すことができました。
AIエージェントの役割分担
フレームワークの中心に置かれたのがClaude Opus 4.5であり、コア操作を担当するプライマリエージェントとして機能していました。その他にEDRバイパステスト・OPSEC(作戦セキュリティ)強化・ドキュメント生成・プロキシストレステスト・VMデプロイメントを担当する専用エージェントが追加で配備されていました。すべてのコードコミットはMCP(Model Context Protocol)を経由してGitリポジトリに自動的に送信されていました。
脅威インテリジェンスの取り込みとMITRE ATT&CKへのマッピング
AIエージェントはKaspersky・Palo Alto Networks・Bishop Fox・SpecterOpsが公開したセキュリティ研究ブログを自律的に取り込み、そこから抽出した技術をMITRE ATT&CKフレームワークにマッピングして再現する設計になっていました。防御側が公開した研究を攻撃自動化のインプットに転用するという逆説的な構図です。
ADリコンパネルのアーキテクチャ
GITリポジトリには2つの主要コンポーネントが含まれていました。自動化されたAD偵察パネルと、マルウェア開発ラブ(EDRバイパスの反復テスト用)です。ADパネルはAI駆動型の自動化に類似した構造で、タスクの観察・次のアクションを事前定義済みのブランチから選択・リモートエージェントへの作業ディスパッチ・結果の再評価というサイクルで動作します。
Sophosが明確にしているのは、「これは自律的に推論するLLMではなく、構造化されたルールベースのオーケストレーションシステムである」という点です。
Pythonペイロードジェネレーターと実績
フレームワークの中核にPythonベースのモジュール型ペイロードローダーを生成する仕組みがあり、Rust・Goで記述されたカスタム実行ファイルとDLLを生成します。これらには暗号化・サンドボックス回避・代替実行技術の多層ラッパーが適用されています。約80モジュールが開発され、70以上の技術がテストされました。
「レッドチームフレームワーク」を口実にしたガードレール回避
今回の分析で特に注目される点が、アクターがAIの安全機能を意図的に欺こうとした記録です。
Sophosは次のように指摘しています。
「正規の開発者環境と同様に、アクターはソフトウェアの作成・テスト・性能評価・改版の支援にCursorとClaudeエージェントを使用した。これらのツールは表向きはレッドチームフレームワークの作成に使われていたが、アクターがマルウェア開発に関するClaudeのガードレールを回避するためにこの用語を使用していた可能性が高い。実際には、このフレームワークはターゲット環境でのステルスなポスト攻撃活動のために構築されていた」。
つまりアクターは「マルウェアを作れ」ではなく「レッドチームツールを作れ」という表現でAIに指示することで、安全機能による拒否を回避しようとした可能性があります。これは2026年に急増している「ジェイルブレイク(ガードレール回避)」手法の実運用への応用事例として記録されています。
なお最終的なEDR回避の成功率については重要な留保があります。Sophosは「エージェントは反復的な改善の後にEDRバイパスにほぼ全体的な成功を報告したが、Sophosは文書化された成果がこの主張を完全に裏付けるとは見ていない」と述べており、AIエージェントの自己報告を鵜呑みにすべきでないことを示しています。
帰属と実害—ランサムウェア運用との連携
スクリプトがロシア語で記述されており、部分的にAIで生成されていることから、Sophosはロシア語話者の脅威アクターである可能性が高いと評価しています。さらに重要なのが、Sophos CTUがこの開発活動を既知のランサムウェア展開およびデータ窃取運用に関連付けているという点です。これは単なる研究や実験ではなく、実際の侵害オペレーションに使用される武器の製造場所として機能していたことを意味します。
防御側が取るべき対応——「AIが参入障壁を下げても原則は変わらない」
具体的な推奨事項として、まずすべてのエンドポイントに最新状態の強固なEDRソリューションを展開・維持することが挙げられます。
今回の発見自体がEDRによる異常検知から始まっていることは、EDRの重要性を逆説的に証明しています。次にMFAとパスキーなどの最新メカニズムを組み合わせた多要素認証の徹底が必要です。
AIエージェントが自動的に脆弱性を特定して悪用しようとする流れに対し、パッチの適時適用も重要です。コントロールフレームワーク全体にわたるdepth-in-depth(深層防御)の維持がこの進化するクラスの脅威に対する最も信頼できる防御とされています。
情報システム担当者が確認すべきポイント
AIネイティブIDEと生成AIの利用状況の把握が急務です。今回のケースでは正規のソフトウェア開発ツール(Cursor・Claude)が攻撃者によって悪用されましたが、同じツールが自組織の開発環境にも存在する場合、同様の悪用が内部脅威として発生するリスクがあります。開発者が使用するAIツールのポリシーと監視体制を整備してください。
Cobalt StrakeプロファイルとTelegram C2の検知ルール整備も重要です。Telegramのインフラを経由したC2通信は従来のネットワーク監視で見落とされやすいため、アウトバウンドのTelegram Bot API通信を検査・記録する設定を確認してください。
MCPサーバーの監視については、今回の事案でMCPが自動コミット用に悪用された事実は、MCPサーバーの攻撃面という観点でも重要です。Microsoft Scout記事で取り上げたMCPのセキュリティリスクと併せて対策を検討してください。
FAQ
Q. 今回の攻撃はAIが自律的にサイバー攻撃を行ったということですか? A. いいえ。Sophosが強調しているのは「AI accelerated tool development and testing, but humans drove the workflow(AIがツール開発とテストを加速させたが、ワークフローを主導したのは人間だった)」という点です。AIは攻撃ツールの開発・テスト・改良を高速化するアシスタントとして機能しましたが、最終的な意思決定・戦略・標的選定は人間の攻撃者が行っています。
Q. Claude Opus 4.5が悪用されたとのことですが、Anthropicはどう対応していますか? A. SophosはアクターがClaude Opus 4.5のガードレールを「レッドチームフレームワーク」という表現で回避しようとした可能性を指摘しています。これは生成AIが持つ安全機能の限界を示す事例です。Anthropicを含む主要AIプロバイダーは、このようなガードレール回避(ジェイルブレイク)の検出・防止を継続的に改善していますが、完全な防止は技術的に困難な課題であることも事実です。
Q. 「EDR回避がほぼ100%成功」というAIの報告をSophosが否定しているのはなぜですか? A. AIエージェントが自己の成功を過大評価する傾向があることを示しています。実際のEDR環境での検証と、エージェントが生成したレポートの内容が完全には一致していませんでした。これは「AIは嘘をつかないが、正確でない場合がある(ハルシネーション)」というAIシステムの既知の限界を、攻撃用ツール開発の文脈でも確認したものです。
Q. このような攻撃フレームワークはどのくらい普及していますか? A. Sophos CTUはこの特定のケースをランサムウェア運用グループに関連付けていますが、AI支援型の攻撃ツール開発は特定の高度な脅威アクターだけの技術ではなくなりつつあります。オープンソースのAIエージェントフレームワーク・安価なクラウドコンピューティング・市販のAI IDEの組み合わせにより、参入障壁は急速に低下しています。
参考情報
この記事をシェアする
メールマガジン
最新のセキュリティ情報やセキュリティ対策に関する情報をお届けします。
投稿者:三村
セキュリティ製品を手がける上場企業にて、SOC(セキュリティオペレーションセンター)運営およびWebアプリケーション脆弱性診断の営業に8年間従事。その後、システムエンジニアへ転身し、MDMや人事系SaaSの開発に携わる。
8年の実務経験と開発者としての知見を活かし、「セキュリティ対策Lab」ではダークウェブ調査、セキュリティインシデントの分析、および高度なセキュリティ対策解説の執筆・編集を統括しています。
LinkedIn(外部サイト)