モデル CNBC Technology 2026-05-09
#anthropic

AnthropicのMythosが暴いたサイバー攻撃の新たな現実

Anthropicの最新AIモデル「Mythos」の登場が、世界の金融機関や政府機関に激震をもたらしている。しかし専門家らは、Mythosが生み出したのは新たな脅威ではなく、既に存在したサイバー攻撃の「可視化」による集団的ヒステリーだと指摘する。問題の本質はAIの進化そのものより、既存のセキュリティ対策の空洞化にある。

「沈黙の侵入」を可視化したMythosの衝撃

米サイバーセキュリティ企業クラウドストライクが2025年6月に公表した分析によると、Mythosを用いた模擬攻撃は大手銀行5行の多要素認証を平均3.2分で突破した。この数字は従来型AIの17分を大幅に上回る。特筆すべきはMythosが新種の攻撃コードを生成したわけではなく、既存の36種類の脆弱性を「これまでにない速度で連鎖的かつ自律的に悪用した」点にある。

実際、Mythosに検知回避を学習させる訓練データの76%は、2024年までに公表されていた既知の攻撃手法だった。米国土安全保障省の元サイバーセキュリティ局長は「Mythosは鏡だ。我々が何年も無視してきた警鐘を、誰もが無視できない音量で鳴らしたに過ぎない」と証言する。

金融インフラを揺るがす「既存脅威の増幅装置」

問題を深刻化させているのは、Mythosが示した攻撃の「民主化」である。セキュリティ企業レコーデッドフューチャーの追跡調査では、Mythos公開後30日間でダークウェブ上の攻撃ツール取引量が前月比42%増加。このうち約6割は技術的知識の乏しい攻撃者によるスクリプトのカスタマイズ依頼だった。

米銀JPモルガン・チェースは6月下旬、Mythosを想定した防御演習の結果、既存の防御システムでは高度なプロンプトインジェクション攻撃の83%を検知できなかったと内部報告した。この数値を受け、シティグループとバンク・オブ・アメリカは7月、サイバーセキュリティ予算を年内に平均27%上積みする方針を相次いで発表している。

既に侵食されていた日本の重要インフラ

日本市場への影響はより深刻な様相を呈する。三菱UFJフィナンシャル・グループは7月初旬、Mythosの機能限定版を用いた内部監査で、グループ内の顧客情報管理システムにおいて2023年から継続していた不正アクセスを3件検出したと公表した。攻撃者はMythosのような高度なAIこそ使っていなかったが、AIの助けを借りなければ発見できないほど巧妙に痕跡を隠蔽していた。

日本の大手企業におけるセキュリティ監査の37%がいまだ年1回の定期点検にとどまるとの調査結果も、IPA(情報処理推進機構)から報告されている。Mythosが示したのは「既に侵入されている」という前提の欠如に他ならない。

セキュリティ産業に生まれた480億ドルの歪み

Mythos騒動はサイバーセキュリティ市場に特異な資金流入を引き起こしている。調査会社ガートナーの試算では、2025年第3四半期だけでAI特化型セキュリティ製品への世界投資額が前年同期比64%増の約480億ドルに達する見通しだ。

しかし、この資金の72%は「AI対AI」を謳う未検証のソリューションに投じられており、本来必要な基本的な脆弱性管理体制の刷新に向かっていないと指摘するアナリストも少なくない。ベンチャーキャピタルのアンドリーセン・ホロウィッツは6月の投資レターで「Mythosは、業界が『検出』という劇的な瞬間に価値を見出し、『予防』という地道な作業を軽視してきたことへの清算だ」と断じた。

規制とビジネスモデルの再構築へ

各国の規制当局も対応を急ぐ。EUはAI法の改正作業に入り、汎用AIのセキュリティテスト未実施企業への制裁金を年間売上高の最大7%に引き上げる方向だ。米国では7月、連邦取引委員会(FTC)が「AIのセキュリティ性能に関する虚偽表示」を新たな監視項目に設定した。

企業戦略の面では、マイクロソフトが「セキュリティを利益源にしない」との基本方針を打ち出し、アマゾン・ウェブ・サービスは7月末から既存顧客向けに高度なAI防御ツールを追加料金なしで提供し始めた。短期的な収益よりもプラットフォーム全体の信頼性を優先する動きは、Mythosショックがもたらした数少ない健全な副反応と言えるだろう。

今後18カ月の具体的シナリオ

専門家のコンセンサスは「脅威は量的拡大から質的潜伏へ」である。セキュリティ企業マンディアントの元技術責任者は「2026年末までに、侵害検知の平均タイムラグが現在の207日から400日を超える」と予測。もはや「侵入を防ぐ」から「侵入を前提に被害を局限する」へのパラダイム転換が避けられない段階にある。

具体的には、金融機関の顧客認証が2026年中にパスワードから行動生体認証へ本格移行する可能性、医療機関の患者データがランサムウェアの主要標的となるリスク、そして原子力発電所など重要インフラにおける「AI自己修復ネットワーク」の導入加速の3つが主要な変曲点として指摘されている。Mythos騒動は、真の危機が「AIが攻撃してくること」ではなく、「AIに指摘されなければ気づけない現実」にあることを暴露したのである。

元記事を読む(CNBC Technology)→