アンソロピックMythosが示すAIサイバー攻撃時代の現実と課題

はじめに

Anthropicの新モデル「Claude Mythos Preview」を巡って、AIの競争軸がまた一段変わりました。今回の注目点は、会話性能や検索性能ではありません。ソフトウエアの脆弱性を見つけ、攻撃手順をつなぎ合わせる能力が、政策当局や金融機関を動かす水準に達したことです。

英AI Security Institute（AISI）は2026年4月13日、Mythosが専門家レベルのサイバー演習で高い成功率を示したと公表しました。Anthropic自身も一般公開を見送り、限られた企業と防御目的でのみ運用する「Project Glasswing」を立ち上げています。本記事では、7割超という数字が何を意味するのか、なぜ金融や重要インフラが警戒しているのか、そして国際ルールがどこまで追いついていないのかを整理します。

英政府試験で見えた能力の段差

73%成功率と32段階完走という到達点

AISIが4月13日に公表した評価で最も象徴的なのは、専門家レベルのCapture The Flag（CTF）課題でMythos Previewが73%の成功率を記録した点です。AISIによれば、こうした専門家レベル課題は2025年4月以前にはどのモデルも完了できませんでした。単に「少し賢くなった」のではなく、従来は越えられなかった壁を越えたという意味を持ちます。

さらにAISIは、企業ネットワーク侵入を模した32段階の攻撃シミュレーション「The Last Ones」を用意しました。これは偵察、侵入口の確保、横展開、権限昇格、最終的なネットワーク掌握までを含む多段階の演習で、人間の専門家なら約20時間かかると見積もられています。Mythosは10回中3回、このシナリオを最初から最後まで完走し、全試行平均でも32段階中22段階をこなしました。

ここで重要なのは、評価が単発の脆弱性発見ではなく、複数の手順を連続して実行できるかを見ていることです。現実の攻撃は、一つの欠陥を見つけただけでは成立しません。認証回避、権限昇格、別ホストへの移動などをつなげる必要があります。AISIが強調したのは、Mythosがその「つなぐ力」で一段抜けたという点でした。

それでも「万能ハッカー」とは言えない理由

一方で、この数字をそのまま現実世界の脅威に読み替えるのは危険です。AISIは、自らの演習環境には現実の企業ネットワークで一般的な防御機能が十分に入っていないと明記しています。能動的な防御担当者、EDRのような検知ツール、警報を出した際の不利益も、評価環境では限定的でした。つまり、Mythosが「弱く防御された環境」にはかなり強いことは示せても、「強く防御された本番環境」に同じ確率で通用するとは言えません。

この留保は極めて重要です。AIの能力を過大評価すると、いたずらに恐怖を広げます。逆に過小評価すると、守る側の投資判断が遅れます。今回のAISI評価が教えるのは、Mythosがすでに一部の企業ネットワークなら自律的に攻撃できる可能性を持ちつつ、なお防御側の監視と運用が効く余地も残っているという、中間的で現実的な位置づけです。

限定公開と防御先行というAnthropicの賭け

Project Glasswingの狙い

Anthropicは4月7日、Mythos Previewを一般提供せず、Project Glasswingとして限定的に解放すると発表しました。参加企業にはAmazon Web Services、Apple、Cisco、CrowdStrike、Google、JPMorganChase、Microsoft、NVIDIA、Palo Alto Networksなどが並びます。Anthropicは最大1億ドル分の利用クレジットも用意し、重要ソフトウエアの保守主体やオープンソース側に先に防御の機会を与える構えです。

この判断の背景には、Anthropicの内部検証があります。Frontier Red Teamの技術ブログによると、Mythosは主要OSや主要ブラウザーでゼロデイ脆弱性を見つけ、場合によってはエクスプロイト開発まで自律的に進めました。OSS-Fuzz系の内部評価では、従来モデルがごく一部しか深刻なクラッシュを起こせなかったのに対し、Mythosはtier 1と2で595件のクラッシュを出し、完全な制御フロー掌握に相当するtier 5も10件達成したといいます。

Anthropicが例示した内容も重いものです。OpenBSDでは27年見逃されていた不具合、FFmpegでは16年残っていた脆弱性、FreeBSDではCVE-2026-4747として採番された遠隔コード実行につながる欠陥などが紹介されました。OpenBSDの問題は、1つの成功例だけ見れば50ドル未満の試行コストで見つかったとされます。もちろん再現性や探索全体の費用は別に考える必要がありますが、「高度な攻撃研究が一部の専門家の専売特許ではなくなる」方向を強く示しています。

なぜ金融システムが先に反応したのか

金融機関がこの話題に過敏に反応するのは自然です。銀行の基幹システムは、最新のクラウドやAPIと長年使われてきたレガシー環境が共存しやすく、脆弱性探索の余地が広いからです。英紙The Guardianは4月13日、Goldman Sachsのデービッド・ソロモンCEOがMythosの能力を「hyper-aware」と表現し、Anthropicやセキュリティベンダーと連携していると報じました。同記事では、英当局側が主要銀行と問題意識を共有しようとしている状況も伝えています。

Mythosの脅威は、単純に「攻撃が上手いAIが出た」という話ではありません。見つかっていない脆弱性が大量に残るソフトウエア資産、修正に時間がかかるサプライチェーン、24時間止められない金融・医療・電力の業務システムが組み合わさると、攻撃側の探索コスト低下はそのまま守る側の負担増になります。Anthropicが金融機関やインフラ企業を初期パートナーに入れたのは、まさにそのボトルネックが最も大きいからです。

迫られる防御再設計と国際ルールの空白

既存の国際枠組みはあるが、まだ粗い段階

「AIの安全ルールが全く存在しない」とまでは言えません。2023年のBletchley Declarationでは、英国に集まった28の国・地域が、フロンティアAIの深刻なリスクは国際協力で対処する必要があると確認しました。2025年にはOECDが、G7広島AIプロセスの行動規範に基づき、企業のリスク評価、インシデント報告、情報共有の取り組みを比較可能な形で報告させる枠組みを始めています。

ただし、これらは主に原則や透明性確保の仕組みです。Mythosのように、攻撃能力が短期間で跳ね上がるモデルに対して、どの閾値で公開を制限し、どの主体が検証し、どの範囲で情報共有を義務づけるかといった実務ルールはまだ薄いままです。AnthropicのResponsible Scaling Policyも重要ですが、基本的には企業の自主規律です。国家横断の強制力ある制度とは違います。

この空白が問題なのは、サイバー領域の被害が国境を越えるからです。ある国で緩く公開されたモデルが、別の国の病院や港湾や金融機関を狙うことは十分あり得ます。しかもAIモデルそのものだけでなく、蒸留や模倣によって能力が広がる可能性もNCSCは指摘しています。つまり、フロンティアモデルだけを閉じても安心とは言えません。

守る側に求められる優先順位

NCSCと豪州サイバー当局の整理は、現場の優先順位をかなり率直に示しています。第一に必要なのは、AI対応の特効薬ではなく、資産管理、アクセス制御、セキュア設定、包括的ログ取得といった基礎対策です。AISIも、Mythosが通用したのは弱い防御姿勢の環境だと説明しており、基礎の弱い組織ほどAI時代の被害が増幅されやすいと読めます。

第二に、AIを攻撃側だけの道具にしないことです。NCSCは、AIを使った脆弱性発見、攻撃経路の洗い出し、検知・調査・封じ込めの自動化を「防御側の上位ベット」と位置づけました。AnthropicのProject Glasswingも本質的には同じ発想です。守る側が先にAIで自組織とサプライチェーンを洗うことが、数少ない対抗策になります。

第三に、モデル能力の検証を政府と企業で分業することです。AISIのような第三者評価は、開発企業の自己申告を補う役割を持ちます。サイバー領域では、性能指標だけでなく、公開範囲、推論コスト、実運用での検知可能性、責任ある脆弱性開示の運用能力まで含めて評価する必要があります。Mythosは、その枠組み作りを前倒しで迫る存在だといえます。

注意点・展望

今回の話題で最も陥りやすい誤解は、「Mythosが今すぐ世界中の堅牢なシステムを自律的に突破する」と受け取ることです。公開資料からそこまでは言えません。AISIも、強固に守られた本番環境への適用可能性は断定していません。評価条件を外して脅威を膨らませるのは不正確です。

ただし、逆方向の誤解も危険です。「演習環境だけの話だから大丈夫」と片づける見方です。NCSCは、2026年3月時点の公開モデルでも多段階攻撃能力が急速に伸び、試行コストが約65ポンドまで下がったと整理しました。その直後に、Mythosはさらに上を示しました。改善速度を考えると、守る側はモデルが本番環境を完全に攻略してから対策するのでは遅い可能性が高いです。

今後の焦点は三つあります。第一に、AISIのような第三者評価が防御のある環境まで広がるか。第二に、Glasswingのような限定公開モデルで脆弱性修正の速度が本当に上がるか。第三に、Bletchley DeclarationやG7広島プロセスのような枠組みが、公開判断や事故報告まで含む実効的なルールへ進化できるかです。Mythosは単独の製品ニュースではなく、AI安全保障の制度設計を急がせるシグナルとして見るべきでしょう。

まとめ

Claude Mythos Previewを巡る本質は、AIがついにサイバー攻撃の「一工程」ではなく「一連の作戦」をこなす段階へ近づいたことです。AISIの73%という数字や32段階完走は、その変化を象徴する指標でした。他方で、現実の強固な防御環境で同じ成果が出るとまではまだ確認されていません。

だからこそ、今必要なのは過剰な恐怖でも過小評価でもなく、防御の前倒しです。基礎的なセキュリティ対策、AIを使った自衛、第三者評価の制度化、そして国際的な情報共有ルールの具体化が急務です。Mythosは「危険なAI」の見本であると同時に、AI時代の守り方を再設計しなければならない現実を突きつけています。

参考資料:

• Our evaluation of Claude Mythos Preview’s cyber capabilities | AISI
• Project Glasswing: Securing critical software for the AI era | Anthropic
• Assessing Claude Mythos Preview’s cybersecurity capabilities | Anthropic Frontier Red Team
• Model system cards | Anthropic
• Anthropic’s Responsible Scaling Policy | Anthropic
• Why cyber defenders need to be ready for frontier AI | NCSC
• Frontier models and their impact on cyber security | Cyber.gov.au
• Countries agree to safe and responsible development of frontier AI in landmark Bletchley Declaration | GOV.UK
• OECD launches global framework to monitor application of G7 Hiroshima AI Code of Conduct | OECD
• Goldman Sachs chief ‘hyper-aware’ of risks from Anthropic’s Mythos AI | The Guardian