朝起きたら、AIが攻撃プログラムを完成させていた
Claude Mythosの衝撃は、このいたちごっこをAIがさらに高速化し得る点にある。前述の「脆弱性スキャナー」と「侵入検知システム」のどちらの役割も、しかもさらに高度な形で実行できるのがMythosだからだ。
Anthropicは、Mythos Previewについて、「複雑なソフトウェアを深く理解し、変更できる能力が、脆弱性の発見や修正にもつながる」と説明している。つまりそれは「セキュリティ専用に作られた小さな道具」というより、コードを読み、意味を理解し、必要なら修正方針まで考えられる汎用的なAIが、セキュリティ領域でも強力な力を持ち始めたという話だ。
Anthropicのレッドチーム(脆弱性を見つけるために、防御側があえて攻撃者の視点で検証するチーム)向けページでは、さらに踏み込んだ例が示されている。それによれば、正式なセキュリティ訓練を受けていないエンジニアがMythos Previewに脆弱性を探させたところ、翌朝には脆弱性を見つけただけでなく、それを悪用する攻撃用プログラムまで完成させていたという。
Anthropicは、Mythos Previewについて、「複雑なソフトウェアを深く理解し、変更できる能力が、脆弱性の発見や修正にもつながる」と説明している。つまりそれは「セキュリティ専用に作られた小さな道具」というより、コードを読み、意味を理解し、必要なら修正方針まで考えられる汎用的なAIが、セキュリティ領域でも強力な力を持ち始めたという話だ。
Anthropicのレッドチーム(脆弱性を見つけるために、防御側があえて攻撃者の視点で検証するチーム)向けページでは、さらに踏み込んだ例が示されている。それによれば、正式なセキュリティ訓練を受けていないエンジニアがMythos Previewに脆弱性を探させたところ、翌朝には脆弱性を見つけただけでなく、それを悪用する攻撃用プログラムまで完成させていたという。
日本と欧州、相次ぐ警戒
反応はすでに広がっている。日本では2026年4月24日、Mythosのような高度AIをめぐる懸念を受け、金融システムのサイバーリスクに対応するタスクフォースを設置すると報じられた。報道によると、会合には金融庁、日銀、国家サイバー統括室、主要銀行、日本取引所グループなどが関わった。金融は、決済、送金、証券取引、ATM、スマホアプリが密接につながる重要なインフラだ。1つの弱点が連鎖すると、個人の口座だけでなく、市場や決済網にも影響が及ぶ恐れがある。
欧州でも、金融市場監督当局がAIによるサイバーリスクの加速に警鐘を鳴らしている。ESMA(欧州証券市場監督機構)は、AIモデルがより速く、より高度な攻撃を可能にする懸念があるとして、監督当局側の技術理解と対応力を高める必要性を示した。また英国のガーディアン紙は、Mythos Previewへの不正アクセスの報告についてAnthropicが調査していると報じた。強力なモデルであればあるほど「誰がアクセスできるのか」自体が重大なセキュリティ問題になるのだ。
では、これからサイバーセキュリティはどう変わるのか。3つのポイントに整理してみよう。
第1に、脆弱性発見は「定期検査」から「常時検査」に近づく。これまで企業は、システム公開前や年数回の診断で弱点を探してきた。しかしAIがコードを常に読み、変更のたびに問題を指摘できるなら、セキュリティは年1回の健康診断から、スマートウォッチによる常時モニタリングのようなものに変わる。
第2に、発見よりも「修正」が問題になる。AIが大量の脆弱性を見つけたとしても、全てを一瞬で直せるわけではない。古いシステム、複雑な業務、止められないサービス、他社製ソフトとの依存関係がある。パッチを当てれば済む場合もあれば、修正によって別の機能が壊れる場合もある。つまり今後は「どれだけ穴を見つけるか」だけでなく「どの穴を先に直すか」「修正しても業務が止まらないか」を判断する力が問われる。
第3に、セキュリティ担当者の仕事はなくならず、変わる。AIが医師に置き換わるのではなく、画像診断や検査の読み取りを助けるように、MythosのようなAIもセキュリティ担当者の判断を助ける道具になる可能性が高い。世界最大級のサイバーセキュリティ企業であるPalo Alto NetworksのCEO、Nikesh Aroraも「高度なAIがサイバーセキュリティ企業を単純に置き換えるのではなく、セキュリティソフトウェアを強化する方向に働く」と説明している。
欧州でも、金融市場監督当局がAIによるサイバーリスクの加速に警鐘を鳴らしている。ESMA(欧州証券市場監督機構)は、AIモデルがより速く、より高度な攻撃を可能にする懸念があるとして、監督当局側の技術理解と対応力を高める必要性を示した。また英国のガーディアン紙は、Mythos Previewへの不正アクセスの報告についてAnthropicが調査していると報じた。強力なモデルであればあるほど「誰がアクセスできるのか」自体が重大なセキュリティ問題になるのだ。
では、これからサイバーセキュリティはどう変わるのか。3つのポイントに整理してみよう。
第1に、脆弱性発見は「定期検査」から「常時検査」に近づく。これまで企業は、システム公開前や年数回の診断で弱点を探してきた。しかしAIがコードを常に読み、変更のたびに問題を指摘できるなら、セキュリティは年1回の健康診断から、スマートウォッチによる常時モニタリングのようなものに変わる。
第2に、発見よりも「修正」が問題になる。AIが大量の脆弱性を見つけたとしても、全てを一瞬で直せるわけではない。古いシステム、複雑な業務、止められないサービス、他社製ソフトとの依存関係がある。パッチを当てれば済む場合もあれば、修正によって別の機能が壊れる場合もある。つまり今後は「どれだけ穴を見つけるか」だけでなく「どの穴を先に直すか」「修正しても業務が止まらないか」を判断する力が問われる。
第3に、セキュリティ担当者の仕事はなくならず、変わる。AIが医師に置き換わるのではなく、画像診断や検査の読み取りを助けるように、MythosのようなAIもセキュリティ担当者の判断を助ける道具になる可能性が高い。世界最大級のサイバーセキュリティ企業であるPalo Alto NetworksのCEO、Nikesh Aroraも「高度なAIがサイバーセキュリティ企業を単純に置き換えるのではなく、セキュリティソフトウェアを強化する方向に働く」と説明している。
私たちの日常生活を守るために
私たちの一日は、無数のソフトウェアに包まれて始まる。預金、給与、家族の写真、取引先データ。その全てが、誰かが書いたコードの上に乗っている。そのような状況で、Mythosのような「人間より速く脆弱性を見つけるAI」が登場した今、社会全体が大きなリスクにさらされているのは明らかだ。
AIを開発しているのはAnthropicだけではなく、米欧中のトップ企業が激しいAI開発競争を繰り広げていることを考えると、Mythos並みの性能を持つAIは遅かれ早かれ攻撃者の手にも渡ると予想される。すると世界中の銀行アプリ、行政システム、勤務先のクラウドに眠る未知の弱点が、ある日一斉に突かれる可能性が出てくる。そのとき、強いパスワードや2要素認証では防ぎきれない。問われるのは、金融機関や行政機関、クラウド事業者といったインフラが、攻撃者より先にAIで弱点を見つけ、修正できる体制を持っているかどうかだ。
Mythos登場以後、サイバーセキュリティは個人の注意力の問題から、社会全体としての対応力の問題に変わった。人間を超える能力を持つAIが社会インフラに狙いを定めるなかで、それが当たり前に動き続けられるかどうか。それを決めるのは、AIに本気で投資できる企業、規制と人材を整える政府、そして両者を動かす市民の関心である。
人びとがスマホやPCをのぞき込む向こう側で、見えない攻防が秒単位で動き始めている。その事実に意識を向けることが、Mythos以後の世界で「ハッカーより先に脆弱性に対応できる社会」を実現する、最初の一歩になる。
AIを開発しているのはAnthropicだけではなく、米欧中のトップ企業が激しいAI開発競争を繰り広げていることを考えると、Mythos並みの性能を持つAIは遅かれ早かれ攻撃者の手にも渡ると予想される。すると世界中の銀行アプリ、行政システム、勤務先のクラウドに眠る未知の弱点が、ある日一斉に突かれる可能性が出てくる。そのとき、強いパスワードや2要素認証では防ぎきれない。問われるのは、金融機関や行政機関、クラウド事業者といったインフラが、攻撃者より先にAIで弱点を見つけ、修正できる体制を持っているかどうかだ。
Mythos登場以後、サイバーセキュリティは個人の注意力の問題から、社会全体としての対応力の問題に変わった。人間を超える能力を持つAIが社会インフラに狙いを定めるなかで、それが当たり前に動き続けられるかどうか。それを決めるのは、AIに本気で投資できる企業、規制と人材を整える政府、そして両者を動かす市民の関心である。
人びとがスマホやPCをのぞき込む向こう側で、見えない攻防が秒単位で動き始めている。その事実に意識を向けることが、Mythos以後の世界で「ハッカーより先に脆弱性に対応できる社会」を実現する、最初の一歩になる。
小林 啓倫
経営コンサルタント
1973年東京都生まれ、獨協大学外国語学部卒、筑波大学大学院修士課程修了。システムエンジニアとしてキャリアを積んだ後、米バブソン大学にてMBAを取得。その後外資系コンサルティングファーム、国内ベンチャー企業などで活動。著書に『FinTechが変える!金融×テクノロジーが生み出す新たなビジネス』(朝日新聞出版)、『IoTビジネスモデル革命』(朝日新聞出版)、訳書に『ソーシャル物理学』(アレックス・ペントランド著、草思社)、『シンギュラリティ大学が教える 飛躍する方法』(サリム・イスマイル著、日経BP)など多数。
-
1
日傘愛用者による「モンベル」と「サンバリア100」徹底比較レビュー...
-
2
小学生がどハマりする生成AIキャラクター「イタリアンブレインロット...
-
3
長持ちする?お手入れは?「東レサマーシールドII COKAGE+」...
-
4
本当に釣れるの? ダイソーの釣り用品を購入! 実際に釣りに行った釣果は?
-
5
Geminiに写真を見せて「おしゃれな部屋づくり」をアシストしてもらった
セキュリティキャンペーンでのバナー
-
1
日傘愛用者による「モンベル」と「サンバリア100」徹底比較レビュー、折り畳み傘がいい?それとも長傘?
-
2
小学生がどハマりする生成AIキャラクター「イタリアンブレインロット」の中毒性と拡散力
-
3
長持ちする?お手入れは?「東レサマーシールドII COKAGE+」「サンバリア100」「モンベル」比較レビュー
-
4
本当に釣れるの? ダイソーの釣り用品を購入! 実際に釣りに行った釣果は?
-
5
Geminiに写真を見せて「おしゃれな部屋づくり」をアシストしてもらった