AIがハッカーになる日：Mythos Previewが変えるサイバー防衛の常識

あなたの会社のシステムを守っているエンジニアが、眠っている間に、AIが何百万もの侵入経路を試し終えているとしたら？

今週、AI企業のAnthropicはその問いを現実のものとして突きつけました。同社が発表した新モデル「Claude Mythos Preview」は、あらゆるオペレーティングシステム、ブラウザ、ソフトウェア製品の脆弱性を自律的に発見し、実際に機能する攻撃コードを生成できると主張しています。

「Project Glasswing」とは何か

Anthropicはこのモデルを一般公開しませんでした。現時点では、Microsoft、Apple、Google、Linux Foundationなどを含む数十の組織のみが参加する「Project Glasswing」というコンソーシアムを通じて、限定的に提供されています。Ciscoの社長兼最高製品責任者であるJeetu Patel氏はWIREDの取材に対し、「非常に、非常に大きな出来事だ」と述べました。

なぜ限定公開なのか。攻撃者が同様の能力を手にする前に、防御側が自社のシステムの弱点を先に発見するための「猶予時間」を与えるためです。Anthropicのフロンティア・レッドチームリードであるLogan Graham氏は「Mythos Previewを防御側の手に渡すことが非常に重要だ。我々の目標はここから始めることだ」と語っています。

この発表の影響は技術業界にとどまりません。米国では財務長官のScott Bessent氏と連邦準備制度理事会議長のJerome Powell氏が、金融セクターのリーダーたちを集め、Mythos Previewのような技術がサイバーセキュリティに与える影響について緊急協議を行ったと報じられています。

何が本当に変わるのか：「エクスプロイトチェーン」の問題

広告

広告掲載について

[email protected]

広告

セキュリティの専門家たちが特に注目するのは、「エクスプロイトチェーン」と呼ばれる能力です。これは複数の脆弱性を連鎖的に組み合わせて、標的システムを深く侵害する手法です。ユーザーの操作を一切必要としない「ゼロクリック攻撃」など、最も高度なハッキング技術の多くがこの手法を使います。

クラウドセキュリティ企業EderaのCTO、Alex Zenla氏はこう述べます。「私は通常こういった主張に非常に懐疑的で、オープンソースコミュニティも同様です。ですが、これは本物の脅威だと根本的に感じています。」

長年のセキュリティエンジニアであるNiels Provos氏の見解はより慎重です。「Mythosは多段階の脆弱性を見つけることに非常に長けており、悪用の証明まで提供する。問題の本質を変えるわけではないが、これらの脆弱性を発見・悪用するために必要なスキルレベルを変える」と言います。

一方で懐疑的な声も根強くあります。セキュリティコンサルタントのDavi Ottenheimer氏は「終末を叫んで皆の金を持ち逃げする大道芸人と同じだ」と辛辣に批判します。「機関銃の使い方を学ぶようなシフトではあるが、魔法でも神秘でもない」と。

日本企業への示唆：対応が遅れるリスク

ここで日本の文脈を考えてみましょう。ソニー、トヨタ、三菱UFJ銀行など、日本の主要企業はグローバルなデジタルインフラに深く組み込まれています。しかし日本企業のサイバーセキュリティ対応は、欧米と比較して組織的な遅れが指摘されることがあります。

Project Glasswingへの参加企業リストに日本企業の名前は現時点で確認されていません。これは単純に情報公開の問題かもしれませんが、もし防御側ツールへのアクセスに格差が生じるとすれば、その影響は小さくありません。

また、日本が抱える労働力不足という構造的問題も絡んできます。熟練したセキュリティエンジニアの確保が難しい中小企業が、AIによって「攻撃の民主化」が進む世界でどう対応するか。これは技術の問題であると同時に、社会インフラの問題です。

元米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）長官のJen Easterly氏は「数十年にわたり、私たちは本来存在すべきでなかった脆弱性を防御・検知・対応するための巨大な産業を築いてきた」と指摘します。Project Glasswingは、欠陥のあるソフトウェアを際限なく守り続ける時代から、最初から安全な技術を構築する時代への転換を促す契機になりうる、と彼女は論じます。