Claude Opus 4.7でマルウェアインシデント対応：1人5時間で完了

Redditユーザー（u/reddited-autist）が、Claude Opus 4.7を使って60人規模の心理学診療所での実際のマルウェアインシデントに対処したことを報告した。攻撃者は11年分の患者記録（HIPAA保護対象）を侵害し、セッションクッキーを盗み、偽のLinkedIn HRページを通じたソーシャルエンジニアリングで2要素認証を突破した。マルウェアはPythonバイトコードのRAT（コンパイル済み.pyc）で、ファイアウォールを回避するために旧式のfingerプロトコルをC2通信に使用し、証明書検証を無効にしたWebSocket C2も併用していた。従来のインシデント対応は30〜10万ドルの費用と3〜6人のチームで1週間かかるところ、著者はたった1人で5時間でクローズした。

Claudeが真価を発揮した点

バイトコードのリバースエンジニアリング: .pycファイルをClaudeに入力すると、disの出力を解析し、難読化パターンを特定し、C2エンドポイントを著者が一人でやるよりも速く抽出した。鍵となったのは、呼び出しパターンから意図を推測する能力だった。
HIPAAリスク評価文書: 通常4時間かかる定型業務の規制文書を、Claudeは発見事項から15分でドラフトした。著者はそれを編集するだけで済んだ。
12の再利用可能なフォレンジックスクリプト: 要件を説明するとClaudeがスクリプトを作成し、著者がテストして修正。ほとんどが現在の標準ツールキットに加わっている。

著者が修正を加えた点

過剰な属性推定: Claudeは攻撃を高度な国家レベルの攻撃者によるものと判断した。しかしC2は脆弱で難読化も中途半端だった——最終報告書で修正した。
クッキーの永続化を見逃し: 特定のファイルパスを指し示す必要があり、Claudeがレジストリキーを特定する前に誘導が必要だった。教訓：何を探すべきか指示しなければ、見つけてくれない。
危険な修復手順: 診療所のEHR統合を壊しかねない手順を生成。レビューで発見——盲目的に実行していたら事態を悪化させていた。

正直な感想

著者のまとめ：「Claudeと働くのは『Claudeが仕事をする』ということではない。私が20年のセキュリティ判断力をもたらし、Claudeが処理速度とパターン想起をもたらす対話だ。」モデルは彼を代替するのではなく、従来なら企業全体が必要だった作業を一人で可能にした。規制産業において、これはインシデント対応のコスト構造を変え、小規模診療所でもHIPAAの見出しにならずに適切な侵害対応を実施できるようになる。

マルウェアの詳細な内訳を含む完全な技術記事はソースにリンクされています。

📖 全ソースを読む: r/ClaudeAI