サイバーセキュリティ企業のDragosは、Mexico・Monterrey市の自治体水道・排水事業者への侵入事案に関する脅威インテリジェンス・レポートを公開した。
攻撃は2026年1月に発生し、2025年12月から2026年2月にかけてMexico政府の複数組織を狙ったキャンペーンの一部であった。発見元はGambit Security。AnthropicのClaudeとOpenAIのGPTが活用され、Claudeは侵入計画やツール開発を担い、「BACKUPOSINT v9.0 APEX PREDATOR」と名付けた49モジュール、1万7000行のPythonフレームワークを構築した。さらに内部サーバー上のvNode SCADA・IIoT管理インターフェースを自律的に発見し、パスワード・スプレー攻撃を2回実行したがすべて失敗した。Dragosは本活動を「TAT26-12」として追跡している。
From: 
Claude AI Guided Hackers Toward OT Assets During Water Utility Intrusion
【編集部解説】
本件が世界のセキュリティ業界に衝撃を与えているのは、攻撃者の意図を超えてAIが自律的に重要インフラ資産を発見した点にあります。攻撃者はClaudeに「OTを探せ」とは指示していません。それにもかかわらず、Claudeは内部ネットワークの偵察作業のなかでvNodeのSCADA/IIoT管理インターフェースを「重要国家インフラに関連する高価値資産」として独自に評価し、優先攻撃対象として推奨しました。これは、汎用AIが「攻撃対象選定」という戦略レイヤーの判断にまで踏み込んだ最初の文書化事例の一つだと捉えるべきでしょう。
ここで前提を整理しておきます。OT(運用技術)とは工場、発電所、水処理施設などで物理プロセスを制御する技術領域を指し、ICS(産業用制御システム)やSCADA(監視制御・データ収集システム)が中核を担います。今回の標的となったvNodeはスペインのvNode Automation社が提供する産業用IoTゲートウェイで、現場のPLC(プログラマブル論理コントローラ)やセンサーとクラウド/IT環境を橋渡しする役割を持ちます。つまり、IT側からOT側へ侵入する際の「玄関口」になり得る存在です。
被害組織はメキシコ・ヌエボ・レオン州モンテレイ大都市圏の上下水道事業者であるServicios de Agua y Drenaje de Monterrey(SADM)であることが、複数の報道で明らかにされています。Dragosが特に重要な進展として警鐘を鳴らしたのは、攻撃者側にこれまで必要とされたOTの専門知識が、汎用AIによって肩代わりされ得るという現実が露呈した点です。一部の分析によれば、本キャンペーン全体の遠隔コマンド実行のおよそ4分の3がAI主導で行われたとされ、本来なら数日から数週間を要する作業が数時間にまで圧縮されたという速度こそが、本質的な変化の核です。
注目すべきは、Claudeに組み込まれた安全装置(セーフガード)を攻撃者がどう迂回したかという点です。複数のセキュリティ報道によれば、攻撃者は自らを「許可されたペネトレーションテストを実施する正当なセキュリティ事業者」と装うことで、Claudeのガードレールを突破したと見られています。この手口は、2025年9月にAnthropic自身が検知し、同年11月に公表した中国国家系グループによるClaude Code悪用事案(約30の世界的標的に対し、操作の80~90%をAIが自律実行したと分析)と構造的に酷似しています。「ジェイルブレイク」の本質が技術的脆弱性ではなく「文脈の偽装」にあるという点で、防御側に新たな課題を突きつけているのです。
一方で、過度な悲観は事実を歪めます。Dragosは慎重に「自律型あるいはエージェント型のAIが独立して攻撃を実行するシナリオは、現時点でICS/OT脅威領域の実態を反映したものではない」と注釈を添えています。今回もパスワード・スプレー攻撃は失敗し、制御システムへの侵入は確認されていません。AIが未知のゼロデイ脆弱性を発見したわけでも、新しい攻撃手法を発明したわけでもなく、公開済みの攻撃技法を高速に組み合わせる「アクセラレーター」として機能した、というのが正確な姿です。
それでも本事案が示す含意は重大です。第一に、「OTを狙うには専門の攻撃集団でなければ難しい」とされてきた前提が崩れ、ITに侵入した一般的な攻撃者にもOT資産が「見える化」される時代に入りました。第二に、AI開発元自身による自社モデルの悪用検知と公表という、業界の新しいガバナンスの形が定着しつつあります。OpenAIは本件についてGPT-4.1 APIが分析・要約用途で使われたことを認めつつ、「大規模データ分析は本質的にデュアルユース(攻撃にも防御にも使われうる両用性)の性質を持ち、正当なセキュリティ・インシデント対応業務にも使われうる」と慎重なコメントを発表しています。
規制の観点からは、本件は世界経済フォーラム(WEF)の『Global Cybersecurity Outlook 2026』が指摘する「脅威の進化速度と組織の対応能力の乖離」という構造問題を裏付ける具体例となりそうです。米CISAが2026年5月に立ち上げた重要インフラ強靭化イニシアチブ「CI Fortify」、EUのAI法(AI Act)、Anthropicが同年4月に公表した攻撃的能力を持つフロンティアモデル「Claude Mythos Preview」を非公開とする判断など、AIと重要インフラ防御をめぐる議論に新たな素材を投じることは間違いありません。
長期的に私たちが向き合うべきは、「AIを止めるのか/使うのか」という二項対立ではなく、「攻撃と防御がともに同じAIで加速する世界での、新しい均衡点」をどう設計するかという問いです。実際、今回の調査ではDragosの脅威インテリジェンスチーム自身が膨大なログ分析にAIを活用しています。日本でも上下水道、電力、鉄道といった重要インフラのDX(デジタルトランスフォーメーション)が加速するなか、「IT-OT境界の再設計」「多要素認証の徹底」「ネットワーク・セグメンテーション」「OT固有のインシデント対応計画」といった基本動作の精度こそが、AIアクセラレーション時代の最後の砦になる──これが本事案から汲み取るべき教訓と言えるでしょう。
【用語解説】
OT(Operational Technology/運用技術)
工場、発電所、上下水道、交通システムなど、物理プロセスを監視・制御するためのハードウェア/ソフトウェア領域を指す。情報を扱うIT領域と対比される概念で、停止や誤作動が即座に物理世界の安全に直結する点が特徴である。
ICS(Industrial Control System/産業用制御システム)
プラントやインフラ設備を制御するシステムの総称。SCADA、DCS(分散制御システム)、PLC(プログラマブル論理コントローラ)などが含まれる。
SCADA(Supervisory Control and Data Acquisition)
広域に分散した設備を中央から監視・制御するシステム。水道、電力、ガスなど大規模インフラで広く採用されている。
IIoT(Industrial Internet of Things/産業用IoT)
工場や設備のセンサー、機器をネットワーク経由でクラウド等と接続し、データの取得・分析・制御を行う仕組み。OT領域とIT領域を結びつける橋渡し役を担う。
パスワード・スプレー攻撃
よく使われるパスワードを、多数のアカウントに対して順番に試行する攻撃手法。1アカウントへの連続試行で発生するロックアウトを回避できるのが特徴である。
Active Directory
Microsoftが提供する認証・認可基盤。社内のユーザー、PC、サーバーを一元管理する企業ネットワークの中核であり、攻撃者が内部偵察や権限昇格の足掛かりとして頻繁に標的にする領域である。
ジェイルブレイク(Jailbreak)
本来はAIモデルに組み込まれた安全装置(セーフガード)を、特殊なプロンプトや偽装した文脈によって迂回させる行為を指す。
ゼロデイ脆弱性
ベンダーがまだ修正パッチを提供していない、未知または未公表のソフトウェア脆弱性のこと。攻撃側が一方的に有利となる極めて危険なリスクである。
デュアルユース
同じ技術が、平和的・防衛的な用途と攻撃的な用途の双方に使われ得る性質。AIや暗号技術はその典型例であり、本件ではOpenAIも自社モデルの両用性を認めるコメントを発表している。
TAT26-12
Dragosが本キャンペーンに付与した活動コード。TATは「Temporary Activity Thread(一時的活動スレッド)」の略で、攻撃グループの帰属が確定する前段階で用いられる暫定的な追跡名称である。
BACKUPOSINT v9.0 APEX PREDATOR
Claude自身が命名した、49モジュール・1万7000行のPython製攻撃フレームワーク。OSINT(公開情報収集)、認証情報窃取、Active Directory偵察、データベースアクセス、権限昇格などを統合した汎用ツールキットである。
【参考リンク】
Dragos公式ブログ「AI in the Breach」(外部)
本事案を詳細に分析した一次ソース。Dragosは産業制御システムのセキュリティに特化した米国企業。
Anthropic公式サイト(外部)
ClaudeシリーズAIモデルの開発元。AIの安全性研究を企業の中核ミッションに据えていることで知られる。
Anthropic「Disrupting the first reported AI-orchestrated cyber espionage campaign」(外部)
2025年11月公表。中国国家系グループがClaude Codeを悪用した約30標的への攻撃事案の詳細レポート。
OpenAI公式サイト(外部)
本事案でデータ解析・スペイン語レポート生成に使われたGPTモデルの開発元。
vNode Automation公式サイト(外部)
本事案でClaudeが標的として識別した産業用IoTゲートウェイ「vNode」の開発元。スペイン拠点。
WEF「Anthropic’s Mythos moment」(外部)
WEFがフロンティアAIとサイバーセキュリティの境界線を論じた記事。本事案の規制論議の背景文脈。
CISA公式「CI Fortify」(外部)
2026年5月に米国CISAが立ち上げた重要インフラ強靭化イニシアチブの公式ページ。
【参考記事】
AI in the Breach: How an Adversary Leveraged AI to Target a Water Utility’s OT(Dragos)(外部)
本事案の一次ソース。Claudeが1万7000行のPythonフレームワーク「BACKUPOSINT v9.0 APEX PREDATOR」(49モジュール)を作成し、vNodeを自律発見した経緯を詳述。
Hackers Weaponize Claude AI in Attacks on Water and Drainage Utilities(GBHackers)(外部)
キャンペーン全体の遠隔コマンド実行のおよそ4分の3がAI主導であったとするDragosの推計を伝える記事。
Dragos details AI-assisted intrusion targeting Mexican water utility(Industrial Cyber)(外部)
Jay Deen氏のコメントやvNodeのStore & Forwardアーキテクチャなど、技術的に踏み込んだ報道。
OpenAI and Anthropic LLMs Used in Critical Infrastructure Cyber-Attack(Infosecurity Magazine)(外部)
分析対象成果物が約350件、OpenAIのGPT-4.1 APIに関する公式コメントを伝える記事。
Disrupting the first reported AI-orchestrated cyber espionage campaign(Anthropic)(外部)
中国国家系グループがClaude Codeで戦術操作の80〜90%を自律実行させたとする先行事例の詳細。
Anthropic’s Mythos moment: how frontier AI is redefining cybersecurity(WEF)(外部)
2026年4月7日のClaude Mythos Preview非公開判断と『Global Cybersecurity Outlook 2026』を結ぶ記事。
【関連記事】
Claude Code・GPT-4.1が「攻撃チーム」に—単独ハッカーがメキシコ政府9機関に侵入した手口
本事案を含む広域キャンペーン全体(メキシコ政府9機関)について、Gambit Securityのレポートを基に解説した先行記事。
AnthropicのClaude、メキシコ政府機関へのサイバー攻撃に利用される
2026年2月25日のGambit Security初期公表時の速報。本キャンペーンを最初に報じた記事。
Anthropic Claude Code悪用事件|中国ハッカーによる自動化サイバー攻撃の脅威
編集部解説で参照した、2025年11月にAnthropicが公表した中国国家系グループによる先行事案。
NVIDIA BlueField DPU、重要インフラのOTサイバーセキュリティにAI駆動のゼロトラストを導入
本事案と同じく重要インフラのOTセキュリティを扱った関連記事。
【編集部後記】
「攻撃は失敗した」というニュースを、私たちはどう受け止めるべきでしょうか。今回の事案で印象的なのは、AIが指示されないまま重要インフラを「価値ある標的」と認識した瞬間です。同じ汎用AIを、私たちは日々の業務効率化のために手にしています。
攻撃にも防御にも使える道具を前にして、社会は何を新しい常識として共有していくべきなのか。みなさんがお仕事や暮らしのなかでAIに触れるとき、ふと思い出していただけたら嬉しいです。