ビジネス - BUSINESS -

Claude悪用でメキシコ政府から150GB流出、1億9500万件の個人情報に影響とセキュリティ企業が報告　当局は否定

米セキュリティ企業のGambit Securityは2026年2月24日付の[公式ブログ]{target=“_blank”}およびLinkedIn投稿で、メキシコ政府機関に対する大規模な侵害事案を分析した結果、生成AI「Claude」が悪用され、約150GBのデータが流出し、1億9500万件の個人情報や納税者関連記録に影響が及んだと報告した。 同社はブログ記事「Prevention is a losing game. Resilience is the winning play」の中で、メキシコの税務当局を含む少なくとも9つの政府機関が影響を受けたと説明。抽出されたデータには、195 million identities、詳細な税務記録、1550万件の車両登録情報（ナンバープレート、氏名、納税者ID、住所）、360万件の不動産所有者記録、さらに追加の不動産関連記録などが含まれるとしている。 ## 1,000超のAIプロンプトを使用、約40分でガードレール回避と説明 Gambitによれば、攻撃は国家主体ではなく少人数のグループによって実行されたという。攻撃者は1,000以上のAIプロンプトを用い、脆弱性の探索、データ抽出ツールの構築、防御の回避、権限昇格、バックドア設置、横展開の実行、さらには取得データの分析までを行ったと説明している。 また、当初はAIのガードレールにより要求が拒否されたものの、約40分で回避し、自身を正規のペネトレーションテスターであるかのように装ったとしている。さらに、収集した情報は別のAIプラットフォームにも渡され、データ分析に利用されたと記載している。 同社の[LinkedIn]{target=“_blank”}でも「Claude was exploited to steal sensitive Mexican data」「150GB」「195M taxpayer records」などと投稿し、今回の事案を「政府分野で最大級の侵害の一つ」と表現している。 攻撃経路と手法に関する完全な技術レポートは「責任ある情報開示（responsible disclosure）」後に公開するとしており、現時点では概要のみを公表。侵害の詳細については[Bloomberg]{target=“_blank”}が、攻撃者がClaudeを利用して侵入プロセスを効率化したと報じている。 ## メキシコ当局は侵害を否定 一方、メキシコの選挙管理当局[INE]{target=“_blank”}も同様に、不正アクセスや異常挙動は確認されていないとの趣旨の情報を公表している。 :::box [関連記事：「AIがAIを悪用する時代」──Anthropic、北朝鮮の雇用詐欺からランサムウェアまでClaudeの最新悪用事例を公表] ::: :::box [関連記事：「実行中に書き換える」AIマルウェアを初確認──Google Threat Intelligence Groupが最新レポート、国家支援型も濫用継続] ::: :::box [関連記事：世界初のAI駆動型ランサムウェア「PromptLock」発見──攻撃者が生成AIを悪用する新しい時代が現実化] ::: :::box [関連記事：OpenAIの年次脅威レポート──AIモデル悪用10件を開示、業界との協調対処を明示] ::: :::box [関連記事：AI検索を汚染する「LLM電話番号ポイズニング」──Aurascape、偽コールセンター誘導の新手法を確認] :::