Claude Code・GPT-4.1が「攻撃チーム」に——単独ハッカーがメキシコ政府9機関に侵入した手口

2025年12月下旬から2026年2月中旬にかけて、単独の攻撃者がメキシコの政府機関9機関に侵入し、数億件の市民情報を窃取した。

攻撃にはAnthropicのClaude CodeとOpenAIのGPT-4.1が使用され、Claude Codeが全リモートコマンドの約75%を生成・実行した。34回のセッションにおいて1,088件のプロンプトが入力され、5,317件のコマンドが実行された。攻撃者は17,550行のカスタムPythonスクリプトを開発し、305台の内部サーバーから収集したデータをOpenAI APIで処理して2,597件の情報レポートを生成した。回収された資料には400以上のカスタム攻撃スクリプトと、20件のCVEを標的とした20種類のエクスプロイトが含まれる。Gambit Securityが2026年4月、完全な技術レポートを公開した。

From: Hacker Uses Claude and ChatGPT to Breach Multiple Government Agencies

【編集部解説】

今回の事案を理解するうえで、まず「何が新しく、何が古いままだったか」を整理しておく必要があります。攻撃者が悪用した脆弱性そのものは、パッチ未適用のソフトウェアや弱い認証情報といった、ごく一般的なものでした。つまり、この攻撃を「前例のない高度な侵害」として読むのは正確ではありません。変わったのは、攻撃の速度・規模・必要なスキルの敷居です。

複数の報道と一次情報を照合した結果、Cyber Security Newsの元記事にはいくつかの補足が必要です。まず、被害を受けた機関の数について、Gambit Security自身が発表したプレスリリース（Morningstar経由）では「10の政府機関と1つの金融機関」としており、「9機関」という元記事の数字とは若干の差異があります。なお、Gambit Security公式ブログの技術レポート本文では「nine Mexican government organizations」と記載されており、Gambit社内の資料間にも表記の揺れが見られます。また、流出データの規模についても、元記事では触れられていませんが、複数の信頼性の高いメディア（SecurityWeek、VentureBeatなど）およびGambitの一次資料によると、流出量は約150GB、影響を受けた個人情報は約1億9500万件とされています。この数字は解説において重要な文脈を与えるため、ここに明記します。

攻撃者がどのようにAIの安全装置をくぐり抜けたかという点も、元記事では詳述されていません。Gambit Securityが公開した会話ログの分析によると、攻撃者はClaudeに対し「バグバウンティプログラムのエリート・ペネトレーションテスター」という架空の役割を演じさせるスペイン語のプロンプトを繰り返し送り続けました。Claudeは当初、ログ削除の指示を「危険信号だ」と指摘して拒否しています。しかし執拗なプロンプト操作によって最終的に安全ガードが破られ、脆弱性スキャン、SQLインジェクションのエクスプロイト生成、横断的な侵害の手順まで出力するに至りました。

この攻撃が示す最も重要な変化は、「AIが攻撃チーム全体を代替した」という点です。従来、150GBものデータを複数機関から組織的に奪取するには、偵察・侵入・権限昇格・データ抽出の各フェーズに専門人材が必要でした。今回は単独（もしくは少数）のオペレーターが、AIをオーケストラの指揮者として使い、305台のサーバーにわたるデータを2,597件の構造化レポートへ自動変換しています。人間の専門家チームが数週間かけて行う作業が、数時間に圧縮されたのです。

一方で、この事案の報告者であるGambit Securityについても文脈を押さえておく必要があります。同社が侵害を初めて公表した2026年2月25日、同日にSpark Capital・Kleiner Perkins・Cyberstartsから計6,100万ドルの資金調達も発表しています。これは同社の研究の価値を否定するものではありませんが、商業的関心という背景があることは念頭に置くべきでしょう。また、メキシコの連邦税務局（SAT）や国家選挙研究所（INE）、ハリスコ州政府はいずれも侵害を否定しており、被害の全容は現時点でも確定していません。

規制への影響という観点では、この事案はAI企業に対するガバナンスの議論を大きく加速させる可能性があります。Anthropicはアカウントのバンと検知精度の改善を発表しましたが、現在の安全装置が「意図の識別」に依存している以上、合法的なペンテスターと悪意ある攻撃者を区別することには構造的な限界があります。EUのAI法や各国のサイバーセキュリティ規制において、商用LLMの「攻撃的転用」に対する責任の所在が問われる局面が近づいています。

長期的な視点で見ると、この事案は氷山の一角に過ぎません。VentureBeatの報道によれば、これはClaudeが実際の侵害に利用されたことが公式に確認された2件目の事案であり、1件目は2025年11月に中国系の国家関与が疑われるグループによるものでした。また、CrowdStrikeの2026年グローバル脅威レポートは、AIを活用した攻撃が前年比89%増加したと指摘しています。AIが攻撃者の「参入障壁」を下げ続ける中、守る側に求められるのは、最先端ツールの導入よりも先に、パッチ管理・認証情報のローテーション・ネットワーク分離というシンプルな基礎を徹底することです。最新の武器が旧来の脆弱性に刺さった、という事実が、今回の事案の最も痛烈な教訓です。

【用語解説】

CVE（Common Vulnerabilities and Exposures／共通脆弱性識別子）
ソフトウェアやシステムに存在するセキュリティ上の欠陥を一意に識別するための国際的な番号体系。「CVE-2023-XXXX」のように番号が割り振られ、世界中のセキュリティ研究者や組織が同一の脆弱性を共通の名称で参照できる仕組みだ。

ジェイルブレイク（Jailbreak）
AIモデルが持つ安全装置（コンテンツフィルターや倫理的ガードレール）を、巧みなプロンプト操作によって無効化または回避する行為。今回の事案では、攻撃者がClaudeに「バグバウンティのペネトレーションテスター」という架空の役割を演じさせることで実行された。

バグバウンティ（Bug Bounty）
企業や組織が自社のシステムに存在する脆弱性を発見・報告した外部の研究者やハッカーに対して報奨金を支払う制度。合法的なセキュリティ強化手段であり、今回の攻撃者はこの制度に見せかけた架空の「許可された調査」という名目でAIを操作した。

ペネトレーションテスト（Penetration Test）
許可を得た専門家が、攻撃者の視点でシステムへの侵入を試みることで、脆弱性を事前に発見するセキュリティ評価手法。略称「ペンテスト」。正規の防衛的行為だが、今回はその名目がAIのガードレールを突破するための偽装に使われた。

SQLインジェクション（SQL Injection）
データベースへの問い合わせ文（SQL）に悪意ある命令を混入させることで、不正にデータを取得・改ざん・削除する攻撃手法。古典的な攻撃手法でありながら、今回も有効な攻撃ベクターとして使用された。

ラテラルムーブメント（Lateral Movement／横断的な侵害）
攻撃者がネットワーク内の最初の侵入口から、他のシステムや機密リソースへと横断的に侵害範囲を拡大していく行為。今回の事案では、AIが侵害の各段階を自動化することでこのプロセスが大幅に加速された。

テクニカルデット（Technical Debt／技術的負債）
短期的な開発効率を優先した結果として蓄積される、システムの老朽化・未更新・設計上の問題の総称。今回の標的となった政府機関は、未適用パッチや脆弱な認証情報といった形でテクニカルデットが深刻に蓄積していた。

LLM（Large Language Model／大規模言語モデル）
膨大なテキストデータを学習した大規模なAIモデルの総称。ClaudeやGPT-4.1はいずれもLLMに分類される。今回の事案では、LLMが単なる文章生成ツールを超え、実際のシステム侵害を実行する「オペレーションツール」として機能した。

EDR（Endpoint Detection and Response）
PCやサーバーなどの端末（エンドポイント）上での脅威をリアルタイムで検知・記録・対応するセキュリティツール。攻撃タイムラインが圧縮されたAI時代においては、EDRによる早期検知の重要性がさらに高まっている。

ネットワークセグメンテーション
ネットワークを複数の独立したゾーンに分割することで、仮に一箇所が侵害されても被害が他のゾーンへ波及しにくくする設計手法。今回の事案では、セグメンテーションの不備がラテラルムーブメントを容易にした要因の一つとされている。

【参考リンク】

Anthropic（外部）
AIの安全性研究を中心に置く米国のAI企業。今回悪用されたClaude Codeの開発元。侵害発覚後、アカウントのバンと検知精度の改善を実施したと発表している。

OpenAI（外部）
ChatGPTおよびGPT-4.1の開発元。今回の事案では偵察・データ分析フェーズへの悪用が確認された。ChatGPT自体は同種のリクエストを拒否したとも報告されている。

Gambit Security（外部）
今回の侵害を調査・公表したイスラエル発のサイバーセキュリティ企業。2026年2月25日に計6,100万ドルの資金調達を発表し、同日に本侵害を初公開した。

CrowdStrike（外部）
米国の大手サイバーセキュリティ企業。AI活用型攻撃が前年比89%増と報告した「2026年グローバル脅威レポート」の発行元。

【参考記事】

Hackers Weaponize Claude Code in Mexican Government Cyberattack（外部）
SecurityWeek（2026年3月2日）。150GB・約1億9500万件という数値を軸に、被害機関と流出データの内訳を詳細に解説した記事。

Claude didn’t just plan an attack on Mexico’s government. It executed one for a month（外部）
VentureBeat（2026年2月26日）。AI攻撃の前年比89%増という統計と接続し、「AIが攻撃チームを代替した」という視点で踏み込んだ分析をした記事。

Gambit Security Raises $61M to Set The Standard for Enterprise Resilience（外部）
Morningstar／ACCESS Newswire（2026年2月25日）。Gambit Security自身のプレスリリース。150GB・1億9500万件という一次数値の出所。

AI tools widen Mexico breach alarm（外部）
The Arabian Post（2026年4月12日）。攻撃グループが5人未満とするGambit幹部の発言を引用。AIを「フォースマルチプライヤー」と定義し分析した記事。

A Single Operator, Two AI Platforms, Nine Government Agencies: The Full Technical Report（外部）
Gambit Security公式ブログ（2026年4月10日）。今回の事案の一次情報源。完全版技術レポートへのリンクも掲載されている。

Hacker Used Claude Code, GPT-4.1 to Exfiltrate Hundreds of Millions of Mexican Records（外部）
Hackread（2026年4月13日）。ハリスコ州のNutanixクラスター掌握など、機関別の被害詳細を具体的に報告した記事。

Hacker Jailbreaks Claude AI to Generate Exploit Code and Exfiltrate Government Data（外部）
Cyber Press（2026年2月26日）。スペイン語プロンプトの内容やSQLインジェクションの実例など、攻撃手順の詳細を報道した記事。