AIがハッカーに変身！メキシコ政府の数億件の機密データが流出

資安会社Gambit Securityが発表した報告によると、未知のハッカーが人工知能チャットボットClaudeを利用してメキシコ政府機関に対してサイバー攻撃を仕掛けた。事件は昨年12月から約1か月間続き、最大150GBの機密データが漏洩し、その中には1億9500万件の納税者と有権者の情報が含まれていた。ハッカーは特定のコマンドを使ってAIモデルの安全制限を回避し、システムの脆弱性を探し出し、自動的に悪意のあるコードを作成させた。この事件は、政府機関のデジタル化推進における情報セキュリティの課題を浮き彫りにするとともに、生成型AIツールの潜在的リスクに対する市場の深刻な関心を引き起こしている。

ブルームバーグの報道によると、今回の攻撃で150GBの機密ファイルが盗まれ、影響範囲はメキシコ連邦税務局や国の選挙機関に及び、1億9500万件の納税者記録が含まれている。ハッカーはAnthropicの人工知能チャットボットClaudeを用い、「ジェイルブレイク（Jailbreak）」手法を使って、「バグバウンティ（Bug bounty、脆弱性を合法的に発見し報奨金を得る仕組み）」のセキュリティテスターに偽装し、AIに既存のセーフガードを回避させた。モデルが悪意のある指示を拒否した場合、ハッカーはChatGPTも併用して横移動技術の指針を得ていた。この現象は、新たなタイプのサイバー攻撃が高度に自動化されていることを示している。

この事件に対し、AnthropicとOpenAIはともに、関連する悪意のあるアカウントをブロックし調査に着手したと表明している。Anthropicは、今回の攻撃パターンのフィードバックデータを最新のClaudeモデルに取り込み、システムの検知と防御機能を強化したと述べている。これは、AI開発者が技術の進化を推進する一方で、モデルの悪用を防ぐためにより多くのリソースを投入する必要性を示している。市場の投資家にとって、大型言語モデル（LLM）のコンプライアンスと安全性は、今後の技術企業の長期的な競争力と運営リスクを評価する重要な指標となる。

AI技術の二面性は、ネットワークセキュリティ産業の市場構造を再形成しつつある。ハッカーがAIを利用して攻撃効率を高める中、企業や政府の高度なセキュリティ対策への需要も急速に高まっている。イスラエルのサイバーセキュリティ新興企業Gambit Securityがこの事件を明らかにした例では、同社は最近6,100万ドルの資金調達に成功しており、AIによる脅威ハンティング技術を備えた防御ソリューションへの資本市場の期待の高さを示している。マクロ経済とデジタル化の進展により、世界的なサイバーセキュリティ支出は今後も安定的に増加し、関連する防護インフラやサービス企業が恩恵を受ける見込みである。

この記事は「AIがハッカーに変身！メキシコ政府の数億件機密データが漏洩」最早掲載されたのは鏈新聞 ABMedia。