NewsAngle
NewsAngle

Mythos衝撃が変えたサイバーセキュリティの常識

by 坂本 亮
URLをコピーしました

Claude Mythosが突きつけたゼロデイ時代

2026年4月7日、AI開発企業Anthropicが発表した一つのモデルが、世界のサイバーセキュリティの前提を根底から覆しました。Claude Mythos Preview――このフロンティアAIモデルは、主要なオペレーティングシステムとウェブブラウザのすべてにおいて、未知の脆弱性(ゼロデイ)を自律的に発見し、さらにそれを実際に悪用可能なエクスプロイトへと変換する能力を持っていたのです。

Anthropicはその危険性を認識し、一般公開を見送りました。代わりに「Project Glasswing」と名付けた防御的サイバーセキュリティ構想を立ち上げ、限定的なパートナーにのみアクセスを許可する方針を採りました。しかし皮肉なことに、このプログラムは発表からわずか14時間で不正アクセスを受けることになります。Mythosの登場は、もはや誰もサイバーセキュリティの脅威から無縁ではいられないという現実を突きつけています。

Mythosが示した「AI×サイバー攻撃」の新次元

前世代を圧倒する脆弱性発見能力

Mythosの能力は、従来のAIモデルとは桁違いのものです。Anthropicの公開情報によると、Mythosはわずか7週間のテスト期間で、主要ソフトウェアにおいて2,000件以上の未知の脆弱性を発見しました。とりわけ注目を集めたのがFirefoxブラウザに対する成果で、271件もの脆弱性が特定されています。Mozillaはこれを受けてFirefox 150で全件を修正するという、AIによるセキュリティ研究が主導した初のブラウザアップデートを実施しました。

エクスプロイト生成能力の飛躍も衝撃的です。前世代のClaude Opus 4.6では、発見した脆弱性を実際に悪用可能なコードへ変換できた成功率はほぼゼロに近いものでした。ところがMythos Previewは同じベンチマークで181件の動作するエクスプロイトを生成し、自律的なエクスプロイト開発の成功率は約80%に達したとされています。

人間の専門家を凌駕する攻撃シミュレーション

英国AI安全研究所(AISI)が実施した独立評価は、Mythosの能力をさらに具体的に示しています。AISIは「The Last Ones(TLO)」と呼ばれる32ステップの企業ネットワーク攻撃シミュレーションを構築しました。初期偵察から完全なネットワーク掌握に至るまでの一連の手順を再現するもので、人間の専門家であれば約20時間を要すると見積もられています。

Mythos Previewは10回の試行のうち3回でこのシミュレーションを完遂しました。AIモデルがTLOを最初から最後まで解決したのはこれが初めてです。さらに、専門家レベルのCTF(Capture The Flag)課題においても73%の成功率を記録しています。2025年4月以前にはどのモデルもこのレベルの課題を解けなかったことを考えると、わずか1年で質的な転換が起きたことになります。

ただしAISIは重要な留意点も指摘しています。テスト環境にはアクティブな防御者やセキュリティツールが存在せず、アラートを発動させる行動に対するペナルティもありませんでした。実際の防御が施されたシステムに対してMythosがどこまで有効かは、現時点では断言できないとしています。

Project Glasswingの構想と「14時間」の教訓

防御のための限定公開という戦略

Anthropicは、Mythosの能力が攻撃者の手に渡るリスクを重く受け止め、一般公開を行わないという決断を下しました。その代わりに立ち上げたのがProject Glasswingです。この構想は、Mythosの圧倒的な脆弱性発見能力を「盾」として使い、重要ソフトウェアの防御を先回りで強化しようとするものです。

ローンチパートナーには、Amazon Web Services、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networksといったテクノロジー業界の主要企業が名を連ねました。さらに40以上の追加組織にもアクセスが拡大されています。Anthropicはこの取り組みに最大1億ドルのMythos Preview使用クレジットと、オープンソースセキュリティ団体への400万ドルの直接寄付を約束しました。

発表当日の不正アクセス事件

しかし、この綿密に計画された防御構想は、発表当日に想定外の形で試されることになります。Project Glasswingの公表からわずか約14時間後、あるDiscordグループがMythosへの不正アクセスに成功したのです。

Fortune誌などの報道によると、このグループのメンバーの一人はAnthropicのサードパーティ契約者でした。彼らはその認証情報と、AIトレーニング企業Mercorから流出した過去のデータに基づくAnthropicの命名規則に関する知識を組み合わせ、MythosのエンドポイントURLを推測することに成功しました。

Anthropicは「サードパーティのベンダー環境を通じたClaude Mythos Previewへの不正アクセスの報告を調査している」と声明を出しました。報道によれば、アクセスを得たグループは悪意ある利用は行わず、ウェブサイト構築などの無害な用途に使用していたとされています。しかしこの事件は、最先端のAIモデルを「安全に管理する」ことの難しさを象徴的に示しました。

企業と個人に迫られる対応の転換

企業:サイバーセキュリティ予算の抜本的見直し

Mythosの登場は、企業のサイバーセキュリティ戦略にも根本的な見直しを迫っています。Bain & Companyの分析によれば、多くの組織は現在のサイバーセキュリティ支出を最大2倍以上に引き上げる必要があるにもかかわらず、大半は年間約10%程度の増加しか計画していません。

問題は脆弱性の「発見」だけではありません。The Hacker Newsが指摘するように、Mythosが変えたのは脆弱性発見の計算式であり、多くの組織は修復(レメディエーション)側の対応が追いついていません。AIが短期間で大量の重大な脆弱性を検出できるようになった今、ボトルネックは「見つけること」から「直すこと」へと移行しているのです。

英国政府はMythosの発表からわずか数日で、企業経営者に向けた公開書簡を発出し、サイバーレジリエンス強化のために9,000万ポンドの新規資金を拠出すると発表しました。「サイバーセキュリティと回復力法案(Cyber Security and Resilience Bill)」の導入も進められており、政府レベルでの危機感の高さがうかがえます。

個人:「自分は狙われない」はもう通用しない

Mythosの影響は企業だけにとどまりません。AIがサイバー攻撃の自動化・高度化・個別化を加速させる中、個人のデジタルセキュリティ意識も根本的な転換を求められています。

セキュリティ専門家のBrett Goldstein氏は「パスワードの強度のような基本的なことに未だに無頓着でいるなら、かなり厳しい状況に陥ることになる。サイバーセキュリティの実践を本気で考えるべき時が来た」と警鐘を鳴らしています。Goldstein氏はバンダービルト大学国家安全保障研究所の研究教授であり、国家安全保障やサイバーセキュリティ分野の政策助言に長年携わってきた人物です。

Mythos級のAIが脆弱性を「産業的速度」で発見・悪用できる時代において、個人が取るべき対策は明確です。ルーターのファームウェアを最新に保つこと、OS・アプリケーションのアップデートを怠らないこと、そしてパスワードマネージャーの利用や多要素認証の有効化といった基本的なセキュリティ衛生を徹底することです。サポートが終了した機器やソフトウェアは直ちに交換・更新する必要があります。

Mythosが問いかける「攻防の非対称性」

「壊せるものが直せるもの」というパラドックス

Mythosをめぐる最大の論点は、Picus Securityが「Glasswingパラドックス」と呼ぶ構造にあります。「すべてを壊せるものが、すべてを直すものでもある」――攻撃能力と防御能力が同一のモデルに宿るというこの矛盾は、AI時代のサイバーセキュリティの本質的なジレンマです。

Anthropicは防御目的での利用を推進していますが、同等の能力を持つモデルが他の開発者から登場するのは時間の問題です。実際にAISIの評価では、OpenAIのGPT-5.5がオフェンシブなサイバータスクにおいてMythosに匹敵する能力を示したと報告されています。防御側だけにAIの恩恵を限定することは、構造的に不可能に近いのです。

「パッチの窓」が閉じる時代

従来、脆弱性が発見されてからパッチが適用されるまでには、ある程度の猶予がありました。しかしMythos級のAIが攻撃側にも普及すれば、この「パッチの窓」は急速に狭まります。脆弱性の発見から悪用までが自動化される世界では、防御側が先手を打てるかどうかが、被害の規模を決定的に左右します。

世界経済フォーラム(WEF)はMythosの登場を「フロンティアAIがサイバーセキュリティを再定義する瞬間」と位置づけています。もはやサイバーセキュリティは専門的な技術領域ではなく、経済的強靭性、軍事的即応性、そして地政学的リーダーシップの基盤的な構成要素となったのです。

Mythos時代に企業と個人が取るべき対策

Claude Mythos Previewの登場は、サイバーセキュリティの「ビフォー・アフター」を画する出来事です。AIが数千件のゼロデイ脆弱性を自律的に発見し、80%の成功率でエクスプロイトを生成できる時代において、「自分は関係ない」という態度はもはや通用しません。

企業はセキュリティ予算の抜本的見直しと修復体制の強化を、個人はパスワード管理・ソフトウェア更新・多要素認証といった基本対策の徹底を、今すぐ始める必要があります。Mythosが突きつけた現実は厳しいものですが、同時にProject Glasswingのような防御的活用の道筋も示されています。攻撃と防御の両面でAIが主役となるこの新たな局面で、最も危険なのは「まだ大丈夫」という油断にほかなりません。

参考資料:

坂本 亮

テクノロジー・サイエンス

宇宙開発・AI・バイオテクノロジーなど最先端の科学技術を、社会的インパクトの視点から読み解く。技術と倫理の交差点を追い続ける。

関連記事

Anthropic最強AI制限解除、米規制転換の深層分析と課題

米政府は6月12日に停止されたAnthropicのFable 5とMythos 5の輸出規制を6月30日に解除した。サイバー悪用懸念、99%防御策、CAISI評価、AWSやGoogle Cloudでの再開、企業利用への影響を軸に、日本企業の今後の導入判断にも及ぶフロンティアAI統治の新局面を読み解く。

Anthropic Mythos規制緩和で揺れる米AI統制の行方

米商務省がAnthropicのMythos 5を重要インフラ防衛組織に限定復旧した一方、Fable 5の制限は継続。6月2日の大統領令、6月12日の輸出管理指令、OpenAIへの限定公開要請、欧州の主権論争を照合し、サイバー能力が国家管理の対象になる米AI規制と企業戦略の新たな転換点の深層を読み解く。

AnthropicのAI停止が映す輸出管理新時代と安全保障論

米政府はAnthropicのFable 5とMythos 5を外国人に使わせない輸出管理を命じ、同社は全顧客のアクセスを停止した。サイバー防衛に有益な高性能AIを国家安全保障資産として扱う判断が、研究利用、企業導入、国際競争に及ぼす影響を、米輸出規制とモデル安全性の交点から日本企業が読むべき論点まで解説。

Anthropicとホワイトハウスの対話 AI安全保障の分岐点

ホワイトハウス首席補佐官とベッセント財務長官がAnthropicのアモデイCEOと「生産的」な会談を実施。ゼロデイ脆弱性を大量に発見する新AIモデル「Mythos」の政府利用を巡り、国防総省による前例のない「サプライチェーンリスク」指定と法廷闘争が続く中で歩み寄りの兆しが見えた背景と今後の展望を読み解く。

最新ニュース

AI経済効果を測れない米雇用統計と企業調査・生産性指標の盲点

米国企業のAI利用はCensus調査で2割前後まで拡大した一方、BLSの雇用統計や生産性統計は雇用喪失と効率化を一方向には示しません。ADP、JOLTS、Anthropicや学術研究を比較し、採用増、タスク代替、統計の遅れが同時に進むAI景気を測る難しさと米国金融市場が見るべき主要先行指標群を解説。

欧米熱波が問う新時代の気候適応と都市インフラ再設計政策の盲点

欧州では2026年6月の熱波で1億5000万人超が影響を受け、米東部でも暑さ指数115°F級の危険が拡大。冷房・電力網・病院・住宅・交通が同時に試されるなか、都市の緑化、気候シェルター、早期警戒、効率的冷房をどう組み合わせるべきか。生活防衛と自治体が備える気候適応の優先順位と具体策を欧米の実例から解説。

ハメネイ国葬が映すイラン体制存続と後継危機の深層構造を読み解く

2月28日の米イスラエル攻撃で死亡したアリ・ハメネイ師の国葬は、7月9日のマシュハド埋葬へ進む。132日遅れの葬儀が示す後継体制、革命防衛隊の影響力、ホルムズ海峡をめぐる外交・安全保障リスクを整理。参列外交や大衆動員、宗教儀礼の政治化まで含め、ポスト・ハメネイ期のイラン体制の耐久力と脆さを読み解く。

SpudCellは生命か 合成細胞が示す人工生命研究の現在地

SpudCellは、非生物由来の部品から組み上げた合成細胞が成長、ゲノム複製、分裂、選択を示した事例です。36酵素や約9万塩基対の設計、PURE系、リポソーム融合による摂食、外部供給への依存、5世代前後で止まる限界、未査読段階の評価、安全性、生命倫理と産業応用の論点を整理し、人工生命研究の現在地を解説。

米国クラトム規制が映すトランプ政権・業界ロビー利害対立の深層

FDAが7-OH製品の規制をDEAに勧告し、天然葉系クラトム業者には市場拡大の余地が生まれました。RFKジュニアやマークウェイン・マリン周辺の政治力学、公衆衛生対策、州法の混乱、業界内対立、サプリ市場の再編が交差する政策決定の構図と、消費者・議会・医療現場が注視すべき今後の規則化プロセスを読み解く。