- セキュリティ企業CalifがAnthropicのClaude Mythos Previewと組み、Apple M5の防御「MIE」を突破
- 2026年4月25日に脆弱性発見、5月1日に攻撃完成――わずか5日間
- 非特権ユーザーからroot権限を奪う「データオンリー攻撃」を実装
- Appleが5年と数十億ドルをかけた目玉防御を初公開で突破した史上初の事例
- 研究チームはレポートをレーザープリントしてApple Parkに持参、修正は秋のmacOS Tahoe 26.5予定
「最新iPhoneやMacにはAppleが5年もかけて作った最強の防御が入っている」――そう信じてきた方も多いはずです。しかし、その前提が2026年5月14日にひっくり返りました。AIと人間の研究者が組めば、Apple自慢の防御もわずか5日で破られることが実証されたからです。
何が起きたか|Apple最強の防御が5日で陥落
2026年5月14日、Califが公開した衝撃の発表
米国時間2026年5月14日、カリフォルニア州パロアルトのセキュリティ企業Calif(カリフ)が、自社ブログで重大な発表を行いました。
内容は「Apple M5チップ搭載Macで、カーネル(OSの中核)への攻撃に成功した」というもの。
標的はAppleが2026年に投入した新防御「Memory Integrity Enforcement(MIE/メモリ完全性強制)」です。これは5年の開発期間と数十億ドルの投資を費やしたとされる、Apple史上もっとも野心的なセキュリティ機能でした。
わずか5日で攻撃チェーンが完成
研究はあっという間でした。タイムラインを整理します。
- 2026年4月25日:研究者Bruce Dang氏が最初の脆弱性を発見
- 4月27日:Dion Blazakis氏が合流
- その後:Josh Maine氏がツール開発を担当
- 5月1日:通常ユーザーからroot権限奪取まで動く攻撃コードが完成
- 5月14日:Califが世界初の公開exploitとして発表
Appleが5年かけた防御を、人間とAIのチームが5日で破った――この対比こそが、今回の事件の本質です。
対象はmacOS 26.4.1、ベアメタルM5
攻撃の対象は最新のmacOS 26.4.1(ビルド25E253)を搭載したベアメタル(仮想化なし)のM5マシン。実機上でMIEを有効にした状態で、防御を突破できました。
これは「研究室の理想環境」ではなく、誰でも買えるMacそのものでの成功です。
MIEとは何か|Appleが5年かけた最強防御
「メモリの値札」で攻撃を弾く仕組み
MIE(メモリ完全性強制)は、ハードウェアレベルでメモリ破壊攻撃を防ぐ仕組みです。プログラムがメモリの本来触ってはいけない場所を読み書きする攻撃を、CPU側で食い止めます。
仕組みは「値札(タグ)」のたとえがわかりやすいです。メモリの一区画ごとに小さな秘密の番号を貼っておき、その番号が一致しなければアクセスを許さない、というルールにします。攻撃者が偽の住所でデータを読みに来ても、番号が違うので即拒否される設計です。
技術的にはARM社のMTE(Memory Tagging Extension/メモリタグ拡張)という規格をベースにしており、AppleはこれをM5とA19チップに統合しました。
同期式(synchronous)が大きな違い
多くのMTE実装は、違反を検知しても少し遅れて止める「非同期式」を採用しています。一方Appleは「同期式」を選び、検知した瞬間にプロセスを強制終了させます。
これにより攻撃者は「失敗をやり直す」余裕を持てません。1発外せば即終了、という厳しい設計です。
Apple Intelligenceの安全前提でもある
MIEは単なるセキュリティ機能ではなく、「Apple Intelligence」(アップル・インテリジェンス/同社のオンデバイスAI機能)の信頼性を支える土台でもあります。
iPhoneやMacが端末内でAI処理を行うとき、ユーザーの写真・メール・位置情報といったプライベートな情報がメモリ上に展開されます。MIEはこのメモリへの不正アクセスを物理レベルでブロックする最後の防波堤、という位置付けです。
どう破ったか|「データオンリー攻撃」の意味
2つの脆弱性を組み合わせたチェーン
Califが組み上げた攻撃は、2つの未公開脆弱性と複数の高度なテクニックを連結した「攻撃チェーン」です。
出発点はごく普通のローカルユーザー(管理者権限なし)。終着点はroot権限(システムの最高権限)。間で使うのは、すべて通常のシステムコールのみ。怪しい挙動を一切見せないまま、内部権限を一気に上げてしまいます。
「ポインタを書き換えない」発想の転換
従来のメモリ破壊攻撃は、関数の戻り先アドレス(ポインタ)を書き換えて任意のコードへジャンプさせる手口が主流でした。MIEはこの「ポインタ書き換え」をピンポイントで監視します。
Califが取った戦略は逆方向。「ポインタは触らない。データだけ書き換える」という発想です。MIEが見張っていない場所――たとえば変数の中身や権限フラグ――だけを巧妙にずらすことで、監視網をすり抜けます。
これが「データオンリー特権昇格チェーン」と呼ばれる手口の正体です。
レーザープリント版レポートをApple Parkに直接持参
Califの行動も独特です。研究チームは詳細レポートをレーザープリンタで紙に印刷し、わざわざカリフォルニア州クパチーノのApple本社「Apple Park」まで持参。Appleの担当者に手渡しで届けました。
理由は「オンライン投稿だと埋もれて担当者に届かない可能性がある」から。攻撃の重大さを直接伝える狙いでした。
Apple側は受け取り後、修正パッチを開発中。macOS Tahoe 26.5のリリースノートには、すでにCalifとAnthropic Researchへの謝辞が記載される予定です。
AIの役割|Claude Mythosが脆弱性を見つけた
Claude Mythos Previewとは何か
今回の攻撃で主役級の働きをしたのが、Anthropicが2026年に発表したAI「Claude Mythos Preview(クロード・マイソス・プレビュー)」です。
Mythos(マイソス)は、サイバーセキュリティ業務に特化したClaudeの上位モデル。Anthropicによれば、すでに数千件の高深刻度の脆弱性を主要OS・ブラウザから発見しており、なかにはCVE-2026-4747(インターネット経由でサーバーを完全乗っ取れる脆弱性)も含まれていました。
「バグクラスの一般化」が強み
Mythosの強みは、過去のバグの種類(クラス)を学習すると、似たパターンを別のソフトウェアで一気に見つけられる「一般化能力」にあります。Califは「これは脆弱性研究者にとって極めて強力な道具」と表現しています。
今回の攻撃でも、まずMythosが「ここに怪しい使い方がある」と2つの未知バグを高速発見。そこから先のexploit開発も、Mythosが下書きを書き、人間が仕上げる二人三脚で進められました。
人間の役割は「監視網の回避設計」
ただし、CalifははっきりとAIの限界も認めています。「MIEは新しい防御なので、AIだけで自動的に突破するのは難しい。監視網のすり抜け方を設計するのは人間だった」と説明。
つまり今回は「バグ発見はAI、突破設計は人間」という分業が機能した好例です。AI単独ではなく、AIと専門家のセットで最強の防御が崩れたという点が、業界全体への警鐘になっています。
類似事例と比較|AI×攻撃の最近の流れ
curlの脆弱性発見もMythosが貢献
Mythosが脚光を浴びたのは今回が初めてではありません。世界中で使われるネットワークツールcurl(カール)の作者Daniel Stenberg氏は、2026年5月11日付の自身のブログで「Mythosがcurlの未知脆弱性を発見した」と発表。
独立した複数の現場で、Mythosが「人間より早くバグを見つける」事例が急増しています。
OpenAI Codexやその他のAIとの違い
コード支援AIとしてはOpenAIのCodexやGitHub Copilotが有名ですが、これらは主に「コードを書く」側に最適化されています。
一方Mythosは「コードの穴を見つけて攻撃手順を設計する」側に振り切ったモデル。同じClaudeブランドでも、一般向けの「Claude 4.7」とは内部の訓練データや能力が大きく異なります。
Project Glasswingで主要企業に提供中
AnthropicはMythosを誰にでも開放しているわけではありません。Project Glasswing(プロジェクト・グラスウィング)という枠組みで、信頼できる企業の社内チームのみに提供しています。
参加企業はAWS・Apple・Broadcom・Cisco・CrowdStrike・Google・JPMorgan Chase・Linux Foundation・Microsoft・NVIDIAなど、業界の中核プレイヤーが顔を揃えます。
つまりMythosは「悪用ではなく防御研究に使う」運用が大前提です。Califも今回はApple本体への通報を最優先しています。
日本のユーザーへの影響|何を心配し、何をすべきか
国内ユーザーがすぐ攻撃される心配は小さい
今回のexploitは未公開で、技術解説の55ページレポートも修正が出るまで公表されません。Apple側もすでにパッチを開発中で、秋のmacOS Tahoe 26.5で修正される見込みです。
また、攻撃には「Macに既にローカルユーザーとしてログインしている」状態が必要で、リモートからいきなり乗っ取られるわけではありません。日本の一般ユーザーがすぐに被害を受けるリスクは小さいと言えます。
企業のIT管理者は通常パッチ運用を継続
気にすべきは、企業内で支給端末を管理しているIT部門です。具体的には次の対応がおすすめです。
- macOSの自動アップデートを有効化しておく
- 2026年秋のmacOS Tahoe 26.5リリースで速やかにアップデート
- 機密情報を扱う端末では、Apple純正のロックダウンモードの有効化を検討
- 標的型攻撃の兆候(不審なポップアップ、見覚えのないログインプロセス)を監視
iPhone・Apple Intelligenceにも波及するか
同じMIEはiPhoneのA19・A19 Proにも実装されています。今回の手法がそのままiPhoneで動くかは未確認ですが、原理的には類似攻撃が成立する可能性があります。
Apple Intelligenceでメール・写真・連絡先を端末上で処理する以上、MIEの強度はそのまま個人データ保護の強度と直結します。今回の事案は、iOSユーザーにとっても他人事ではありません。
業界への含意|AIが攻撃に使われる時代の現実
「数千ドルの防御をAIが数日で崩す」構図
セキュリティ研究者の間で広がっているのは、「攻防の経済性が反転しつつある」という認識です。
防御側は数年・数十億ドル単位で投資する一方、攻撃側はAI料金(月数百ドル規模)と専門家のスポット作業で同じ防御を破れるかもしれない。今回の5日 vs 5年という対比は、その極端な象徴です。
CNBCはMythos公表後「ヒステリー」と表現
CNBCは2026年5月8日付の記事で、銀行を中心にMythos公表後の業界が「サイバーセキュリティのヒステリー」に陥っていると報じました。一方で専門家は「AIが攻撃に使われる脅威は既に存在していた」とも指摘。
Mythosは脅威の源泉というより、「すでに進んでいた変化を可視化したマイルストーン」として捉えるのが現実的です。
日本企業が今すぐ準備すべきこと
日本の企業セキュリティ担当者にとって、今回の事案から学ぶべき教訓はシンプルです。
- パッチ適用のサイクル短縮(月次→週次へ)
- 社内独自プログラムでもメモリ安全な言語(Rust等)への移行を検討
- AIによる自社コードの脆弱性スキャンを防御側として導入
- ベンダーパッチ提供前の中間期間に向けたEDR・侵入検知の強化
よくある質問(FAQ)
Q. 自分のMacはすぐ危ないですか?
A. 今すぐ攻撃される可能性は低いです。攻撃コードは未公開で、リモート遠隔攻撃ではなく既にログイン済みの環境からの権限昇格が前提です。
ただし将来的に類似手法が公開される可能性はあります。OSアップデートを必ず適用し、信頼できないアプリの実行を避けるのが現実的な対策です。
Q. iPhoneにも同じ問題はありますか?
A. A19・A19 Pro搭載のiPhoneにも同じMIEが入っており、原理的には類似攻撃が成立する可能性があります。
ただし、今回のexploitはmacOSカーネルを標的にしており、iOSへの直接移植は確認されていません。Appleの定例セキュリティアップデートを必ず適用してください。
Q. Claude Mythosは誰でも使えますか?
A. 一般公開はされていません。AnthropicのProject Glasswing経由で、信頼できる企業のセキュリティチームに限定提供されています。
悪用を防ぐため、参加にはAnthropicの審査と契約が必要です。個人ユーザーが直接利用する手段は現時点でありません。
Q. AIで脆弱性が見つかる時代、防御側はどうすべき?
A. パッチサイクルを短縮し、AIによる自社コードのセキュリティスキャンを防御側として早期導入すべきです。
攻撃側がAIで高速化する以上、防御側も同じツールを使わなければ不利になります。Project Glasswingに加わっていなくても、市販のAIコードレビュー機能(GitHub CodeQL、Snykなど)を活用できます。
Q. データオンリー攻撃とは何が新しいのですか?
A. 「コード(命令の流れ)を一切書き換えず、データ(値や設定)の書き換えだけで権限を奪う」点が新しさです。
従来のMTEはコードの流れを書き換える攻撃を主眼に監視していました。データだけを書き換える手口は監視網の盲点を突くため、MIE時代の代表的な攻撃パターンになる可能性があります。
Q. Apple Intelligenceの利用はやめるべきですか?
A. やめる必要はありません。Apple Intelligenceの設計自体はオンデバイス処理+専用クラウドの2層構造で、別のセキュリティ対策が多数組み込まれています。
MIEは「最後の一線」であり、これが揺らいだから即危険というわけではありません。OSのアップデートを継続し、不審なアプリを入れないという基本対策で十分です。
まとめ
- 2026年5月14日、米Calif社がApple M5のMIE防御を突破したexploitを公開
- 研究にはAnthropicのClaude Mythos Previewが脆弱性発見で貢献
- 攻撃チェーンは5日で完成、Appleの5年の防御投資を一気に相対化
- 手法は「ポインタを触らずデータだけ書き換える」新型のデータオンリー攻撃
- レポートはApple Parkにレーザープリント版を持参、修正は秋のmacOS Tahoe 26.5予定
- 一般ユーザーはOSアップデート適用が当面の最善策
- 業界の教訓は「AI×人間で攻撃が高速化する時代」への防御側の備え
次のアクション:手元のApple端末で「自動アップデート」が有効になっているか、設定を1分で確認しておきましょう。秋のmacOS Tahoe 26.5が出たら、できるだけ早く適用するのが最大の対策です。
参考文献
- First public macOS kernel memory corruption exploit on Apple M5(Calif公式ブログ)
- Memory Integrity Enforcement: A complete vision for memory safety in Apple devices(Apple Security Research)
- Claude Mythos Preview(Anthropic Red Team公式)
- Calif team details how Anthropic Mythos helped build a working macOS exploit in five days(9to5Mac)
- M5搭載MacのMIEが破られる――Anthropic Mythos Preview支援でカーネル攻撃成功(Gigazine)
こんな時代だから遊んで学びたい
AIを学ぶオンラインサロン「AIフレンズ」では、生成AIを楽しく、どこよりも優しく学べる環境をご用意しております。
毎週開催されるオンラインセッションでは、リアルタイムで学び合える機会を提供しています。 さらに、月に一度のオフラインイベントでは、メンバー同士が直接交流し、アイデアや知識を深めることができます。
「AIフレンズ」の仲間とともに、新しい価値を創造し、可能性を広げてみませんか?
一緒に学び、成長しながら、生成AIを使いこなす力を身につけましょう!
