- 米財務長官とFRB議長が大手銀行CEOを緊急招集した異例の事態
- Anthropicの最新AI「Mythos」が全主要OS・ブラウザで数千件のゼロデイ脆弱性を発見
- 17年間見つからなかったFreeBSDの致命的な脆弱性をAIが自律的に発見・悪用
- 1億ドル(約150億円)規模のProject GlasswingでApple・Google・Microsoftなど12社が連携
- 日本の金融機関やITシステムにも波及するサイバーリスクの新時代
「AIがハッカーより先にセキュリティの穴を見つけてしまったら、世界はどうなるのか?」——2026年4月、まさにそれが現実になりました。Anthropicが開発した最新AIモデル「Mythos(ミトス)」が、WindowsやmacOS、主要ブラウザに潜む数千件もの未知の脆弱性を発見。米政府がウォール街の大手銀行トップを緊急招集する事態にまで発展しました。この記事では、何が起きたのか、技術的に何がすごいのか、そして日本にどう影響するのかをわかりやすく解説します。
何が起きた?米財務長官とFRB議長が銀行CEOを緊急招集
2026年4月8日、アメリカの首都ワシントンD.C.にある財務省本部に、ウォール街を代表する大手銀行のトップが集められました。招集したのはスコット・ベセント米財務長官とジェローム・パウエルFRB(連邦準備制度理事会)議長です。
たとえるなら、日本で財務大臣と日銀総裁が三菱UFJ・みずほ・三井住友の頭取を急きょ呼び出したようなものです。それほど異例の緊急会合でした。
出席したのは、Bank of Americaのブライアン・モイニハンCEO、Citigroupのジェーン・フレイザーCEO、Goldman Sachsのデビッド・ソロモンCEO、Morgan Stanleyのテッド・ピックCEO、Wells Fargoのチャーリー・シャーフCEOの5名です。JPMorganのジェイミー・ダイモンCEOは唯一欠席しました。
会合の目的はただひとつ。「Anthropicが開発した最新AI『Mythos』がもたらすサイバーセキュリティリスクへの警告」です。つまり、AIが強力すぎて金融システムへの脅威になりうるという話を、国のトップが銀行のトップに直接伝える必要があったのです。
Mythosとは何か?ゼロデイ脆弱性を自律的に発見するAI
そもそも「Mythos(ミトス)」とは何でしょうか?ひとことで言うと、コンピューターのセキュリティの弱点を人間より圧倒的に速く見つけ出すAIです。
ここで重要な用語が「ゼロデイ脆弱性」です。これは、ソフトウェアの開発者すら気づいていないセキュリティの穴のこと。「穴が見つかってから修正パッチが出るまで0日=対策がない」という意味でゼロデイと呼ばれます。ハッカーにとっては、まさに「鍵のかかっていない裏口」のようなものです。
Mythosが衝撃的なのは、すべての主要OS(Windows、macOS、Linux)とすべての主要Webブラウザで数千件ものゼロデイ脆弱性を発見したことです。しかも、発見した脆弱性の99%以上がまだ修正されていない状態でした。
17年間誰も気づかなかった「裏口」を発見
もっとも衝撃的な事例を紹介しましょう。MythosはFreeBSD(サーバー用OS)のNFS(ネットワークファイル共有機能)に、17年間も潜んでいた致命的な脆弱性(CVE-2026-4747)を発見しました。
これをたとえるなら、「築17年のビルの非常口が、実はずっと鍵なしで外から入れる状態だった」ようなもの。しかも、世界中のセキュリティ専門家が何百万回もスキャンしてきたのに、誰も見つけられなかったのです。
Mythosは、この脆弱性の発見から悪用コード(エクスプロイト)の作成まで、すべて自律的に、人間の手を借りずに完了しました。
従来のAIとは次元が違う性能
Mythosのセキュリティ能力は桁違いです。Firefoxのセキュリティテストでは、従来の最高性能AI(Claude Opus 4.6)が2件のエクスプロイトしか作れなかったのに対し、Mythosは181件を生成。約90倍もの差をつけました。
さらに驚くのは、3〜5つの脆弱性を組み合わせた高度な攻撃コードを自動生成できること。ブラウザの脆弱性4つを連鎖させてサンドボックス(安全な隔離環境)を突破するエクスプロイトも、完全に自律的に作成しました。
Project Glasswingとは?1億ドル規模の防御プロジェクト
「そんな危険なAIを作って大丈夫なのか?」と思いますよね。Anthropicもまさにその懸念を抱き、Mythosを一般公開せずに防御目的で活用するという異例の判断をしました。それがProject Glasswing(プロジェクト・グラスウィング)です。
たとえるなら、「最強の泥棒ツールを作ったので、鍵屋さんに先に渡して弱い鍵を全部交換してもらおう」という発想です。
参加企業は世界の巨人12社
Project Glasswingに参加しているのは以下の12組織です。
- テック企業:AWS(Amazon)、Apple、Google、Microsoft、NVIDIA
- セキュリティ企業:Broadcom、Cisco、CrowdStrike、Palo Alto Networks
- 金融:JPMorgan Chase
- OSS:Linux Foundation
- 開発元:Anthropic
Anthropicはこのプロジェクトに最大1億ドル(約150億円)のAI利用クレジットと、400万ドル(約6億円)のオープンソースセキュリティ団体への直接寄付を提供します。将来的には40以上の組織に拡大する予定です。
なぜ「公開しない」のか
ポイントは、Mythosは限定された防御側だけが使えるということです。攻撃者の手に渡れば壊滅的な被害を引き起こしかねないため、Anthropicは「危険すぎて一般公開できない」と判断しました。VentureBeatは「Anthropicが自社の最も強力なAIサイバーモデルは一般公開するには危険すぎる」と報じています。
従来のセキュリティツールとの違い
「セキュリティの脆弱性を見つけるツールなんて昔からあるじゃないか」と思うかもしれません。実際、ファジング(自動テスト)やペネトレーションテスト(侵入テスト)は長年使われてきました。しかし、Mythosはこれらとは根本的に異なります。
自動テストツールとの違い
従来の自動テストツールは、「あらかじめ決められたパターンで攻撃を試す」というものです。いわば、マニュアル通りに鍵穴を順番に試す作業。一方、Mythosはコードを読んで理解し、「ここに穴がありそうだ」と推論して、独自の攻撃方法を考案することができます。
実際、FFmpeg(動画処理ソフト)に潜んでいた16年間の脆弱性は、500万回以上の自動ファジングをすり抜けていたにもかかわらず、Mythosはこれを発見しました。
人間のセキュリティ研究者との違い
優秀なセキュリティ研究者は1つの脆弱性を見つけるのに数日〜数週間かかることがあります。Mythosは数千件を短期間で発見し、しかも発見から悪用コード作成まで一気通貫で自動化します。スピードと網羅性で人間を圧倒しています。
ただし、Mythosにも限界はあります。すべての脆弱性を見つけられるわけではなく、特にハードウェアレベルの脆弱性や物理的なセキュリティの問題は範囲外です。AIが万能なわけではないことは覚えておきましょう。
日本の金融機関にどう影響する?
「アメリカの話でしょ?」と思うかもしれませんが、日本にとっても対岸の火事ではありません。
1. 日本の銀行も同じソフトを使っている
Mythosが脆弱性を発見したのは、Windows、Linux、主要ブラウザなど、日本の金融機関も日常的に使っているソフトウェアです。メガバンクのATMシステム、オンラインバンキング、社内システム——これらはすべて影響を受ける可能性があります。
2. サイバー攻撃の被害は急増中
日本のサイバーセキュリティ状況は深刻です。2025年のインシデント発生ペースは1日約1.5件。被害額1億円以上の企業は全体の10.1%に達し、10億円以上も2.3%と過去最高を記録しました(KPMG調査)。
さらに、IPAが発表した「情報セキュリティ10大脅威2026」では、「AIの利用をめぐるサイバーリスク」が初めて3位にランクインしています。
3. 防御体制の見直しが急務
Mythosのような高性能AIが存在する以上、従来の「定期的にセキュリティ検査をする」だけでは不十分です。パッチの迅速な適用、AIを活用した防御ツールの導入、そしてProject Glasswingのような国際的な協力体制への参加が求められます。
日本政府やJPCERT/CC(インシデント対応組織)は、こうしたAI脆弱性発見ツールの動向を注視しているとみられます。
よくある質問(FAQ)
Q. Mythosは一般の人でも使えますか?
A. いいえ、一般公開されていません。Anthropicは「危険すぎて一般公開できない」と判断し、Project Glasswingの参加企業(Apple、Google、Microsoftなど12組織)にのみ限定的にアクセスを提供しています。将来的な一般公開の予定も現時点ではありません。
Q. 自分のパソコンやスマホは大丈夫ですか?
A. Mythosが発見した脆弱性の99%以上はまだ修正されていない状態です。ただし、Project Glasswingを通じてApple・Google・Microsoftなどが修正パッチの開発を急いでいます。OSやブラウザのアップデートを常に最新にしておくことが、今できる最善の対策です。
Q. AIがハッキングに悪用される心配はないのですか?
A. これがまさに米政府が緊急会合を開いた理由です。Anthropicは現在、Mythosを厳しく管理していますが、同等の能力を持つAIが他社から登場する可能性はあります。そのため、「防御側が先に対策を取る」ことが急務であり、Project Glasswingはその時間を稼ぐためのプロジェクトです。
Q. 日本の企業はProject Glasswingに参加できますか?
A. 現時点では12組織に限定されていますが、今後40以上の組織に拡大予定です。日本からはまだ参加企業が発表されていませんが、NTTデータやトレンドマイクロなど日本のサイバーセキュリティ企業が将来参加する可能性はあります。
Q. Mythosの登場で何が変わりますか?
A. サイバーセキュリティの「攻防の速度」が劇的に上がります。これまで人間が数週間かけて見つけていた脆弱性を、AIが数時間で発見する時代になりました。「見つけてから直すまで」のスピードが、これまで以上に重要になります。
まとめ
この記事のポイントを振り返りましょう。
- 緊急招集:米財務長官とFRB議長が大手銀行CEO 5名を財務省に緊急招集し、AI由来のサイバーリスクを直接警告
- Mythosの能力:Anthropicの最新AI「Mythos」が全主要OS・ブラウザで数千件のゼロデイ脆弱性を自律的に発見。17年間放置されたFreeBSDの致命的バグも検出
- 従来との差:500万回以上の自動テストをすり抜けた脆弱性も発見。従来AIの90倍のエクスプロイト生成能力
- Project Glasswing:Apple・Google・Microsoftなど12社が参加。Anthropicが最大1億ドル(約150億円)の支援を提供
- 一般非公開:Mythosは「危険すぎて一般公開できない」と判断。防御目的の限定提供のみ
- 日本への影響:日本の金融機関も同じOS・ブラウザを使用。IPAの2026年脅威ランキングでAIサイバーリスクが初の3位
今すぐできることは、OSやブラウザのアップデートを常に最新に保つことです。AIがセキュリティの穴を見つけるスピードは加速する一方。「まだ大丈夫」ではなく、「今日から対策する」意識が求められています。
参考文献
- 米財務長官とFRB議長が銀行幹部に警告 Anthropicの最新AI巡り、サイバーセキュリティに懸念 — ITmedia NEWS
- Powell, Bessent discussed Anthropic’s Mythos AI cyber threat with major U.S. banks — CNBC
- Project Glasswing: Securing critical software for the AI era — Anthropic
- Anthropic’s Claude Mythos Finds Thousands of Zero-Day Flaws Across Major Systems — The Hacker News
- Anthropic says its most powerful AI cyber model is too dangerous to release publicly — VentureBeat
こんな時代だから遊んで学びたい
AIを学ぶオンラインサロン「AIフレンズ」では、生成AIを楽しく、どこよりも優しく学べる環境をご用意しております。
毎週開催されるオンラインセッションでは、リアルタイムで学び合える機会を提供しています。 さらに、月に一度のオフラインイベントでは、メンバー同士が直接交流し、アイデアや知識を深めることができます。
「AIフレンズ」の仲間とともに、新しい価値を創造し、可能性を広げてみませんか?
一緒に学び、成長しながら、生成AIを使いこなす力を身につけましょう!
