Mythosは本物かハッタリか? 真偽を脆弱性情報の発表数で分析してみた!

🔐 2026年 最新データ分析

AIが脆弱性を自動で発見する時代が来た

Project Glasswing(グラスウィング)とAnthropicの超高性能AI「Mythos」が、世界のサイバーセキュリティをどう変えたのか。JVNDBの実データで徹底分析。

🛡️ Project Glasswing 🤖 Claude Mythos 📊 脆弱性データ分析 🏢 Microsoft / Google ⚡ JVNDB調査

📋 目次

  1. Project Glasswingとは?
  2. Mythosというモデルの正体
  3. 脆弱性データ全体の推移
  4. 最高深刻度(9.0+)の3フェーズ分析
  5. 「2ヶ月前プレビュー」仮説
  6. 関連企業・参加組織まとめ
  7. 分析の限界と注意点
  8. まとめ・総合評価
01

🌐 Project Glasswingとは?

世界規模のサイバー防衛プロジェクトの全貌を、わかりやすく解説します。

💡

一言でいうと「AIを使ってソフトウェアのバグを先に見つけよう」というプロジェクト

ハッカーがAIを使って攻撃する前に、防衛側がAIを使って「穴」を塞いでしまおう、というのが基本的な考え方です。Anthropic社が主導し、世界中の大企業・組織と協力して進めています。

Project Glasswing の仕組み 😈 攻撃者 AIで脆弱性を悪用 Anthropic Claude Mythos(非公開) 脆弱性を自律的に検出 🤝 パートナー企業 MS / Google / AWS など 🔧 脆弱性を発見 → 修正 ハッカーより先にパッチを当てる 防御完了! 📅 正式発表 2026年4月7日 🎯 1ヶ月で 10,000件以上を検出

このプロジェクトが画期的なのは、「守る側がAIを先に使う」という発想です。これまでのセキュリティ対策は、攻撃されてから対応する「後手」が多かったのですが、Glasswingは「攻撃される前に自分たちで穴を見つけて塞ぐ」という戦略をとっています。

📅

プロジェクト発表から約1ヶ月で世界に衝撃

2026年4月7日に正式発表されたGlasswingは、開始からわずか1ヶ月足らずで、世界中で広く使われているオープンソースソフトウェアなどから1万件以上の重大なセキュリティの穴を自律的に検出したと発表されています。

02

🤖 Mythosというモデルの正体

Glasswingを支える「非公開AI」Mythosとは何か?その能力と特徴を解説します。

非公開モデル

Claude Mythos

by Anthropic

Anthropicが開発した未公開の最先端AIモデル。コードの理解能力が極めて高く、複雑なプログラムの脆弱性を自律的に発見できる。

超高性能 限定公開 自律検出
主な能力

脆弱性の自律発見

人間が見落とすレベルまで

人間のエンジニアが見落としてしまうような複雑な脆弱性を自動で発見し、実証コード(PoC)まで作成できる能力を持つ。

PoC自動生成 深いコード解析
なぜ非公開?

悪用リスクが高すぎる

信頼できるパートナーのみに限定

その能力が高すぎるため、一般公開すると悪用される危険がある。厳選された約50の企業・組織のみがプレビュー版を使用できる。

限定12社 約50組織
🚨 重要

Mythosは一般には公開されていません。「Claude」として私たちが使えるモデルとは別物です。Glasswingのパートナー企業だけがセキュリティ検証目的で限定的に利用できる、特別なプレビュー版です。

03

📊 脆弱性データ全体の推移(2025年1月〜2026年5月)

JVNDBで調べたMicrosoftとGoogleの月別脆弱性件数をグラフで見てみましょう。

📖

データについて

このグラフは、日本の脆弱性データベース「JVNDB(Japan Vulnerability Notes Database)」から取得した、MicrosoftとGoogleの月別脆弱性登録件数です。2025年1月から2026年5月までの17ヶ月分を可視化しました。

📈 月別脆弱性件数の推移(全件数)

Microsoft 全件数 Google 全件数 Glasswing 正式発表(2026/4/7)

グラフを見ると、Glasswing発表(2026年4月)前後で両社の件数が増加していることがわかります。特にGoogleは2026年4月〜5月に200件前後と、過去の平均(月約68件)の3倍近くに達しています。

指標 期間 Microsoft Google
月次平均(発表前) 2025/1〜2026/3(15ヶ月) 104.9件 67.7件
月次平均(発表後) 2026/4〜5(2ヶ月) 166.5件 199.5件
変化率 発表後÷発表前 ▲ +58.7% ▲ +195%
全期間の最高値(単月) 192件(2026年4月) 214件(2026年5月)
⚠ 注意

Googleは2025年9月(191件)・12月(150件)など、Glasswing以前にも急増した月があります。Chrome系の大型パッチ更新と重なっているケースもあるため、単純に「すべてGlasswingの効果」とは言えません。

04

🚨 最高深刻度(CVSSスコア9.0以上)の3フェーズ分析

全件数より「最も危険な脆弱性」の件数に注目すると、より強い相関が見えてきます。

🎯

CVSSスコア9.0以上とは?

CVSSとは脆弱性の危険度を0〜10で表すスコアです。9.0以上は「最高に危険」なレベルで、放置すると攻撃者にシステムを完全に乗っ取られる可能性がある深刻な脆弱性です。Mythosが「人間が見落とすような複雑な脆弱性を見つける」と言われることと、この指標の変化が対応するかを分析します。

📊 最高深刻度(CVSSスコア9.0+)月別件数の推移

Phase A:ベースライン(2025/1〜2026/1) Phase B:プレビュー仮説期(2026/2〜3) Phase C:正式発表後(2026/4〜5)
Microsoft Google(破線)

グラフを3つのフェーズに分けて色分けしました。オレンジ背景が「プレビュー仮説期」、赤背景が「正式発表後」です。

Phase A:ベースライン
2025/1〜2026/1(13ヶ月)
Microsoft: 4.8件
Google: 4.0件
月平均
Phase B:プレビュー仮説期
2026/2〜3(2ヶ月)
Microsoft: 8.0件
Google: 12.5件
月平均 ※仮説期間
Phase C:正式発表後
2026/4〜5(2ヶ月)
Microsoft: 14.5件
Google: 10.5件
月平均
Microsoft 9.0+: 4.8件 8.0件 14.5件 ベースライン比 +200%
Google 9.0+: 4.0件 12.5件 10.5件 ベースライン比 +163%

Microsoftのパターンが最も説得力がある

Phase A → B → C と完全に単調増加(4.8 → 8.0 → 14.5件)しており、「Mythosの利用が拡大するにつれて検出件数も段階的に増える」という仮説と非常に整合的なパターンを示しています。

05

💡「2ヶ月前プレビュー」仮説とは?

正式発表の前からMythosが使われていたとしたら、データはどう説明できるか。

🔍

仮説の前提

Glasswingの「ローンチパートナー12社」にはMicrosoftとGoogleが含まれていることは明らかです。正式発表(2026年4月7日)の前に、プレビュー版のMythosをパートナー企業が試験利用していたとしたら、2026年2〜3月から変化が始まるはずです。

「プレビュー仮説」タイムライン Phase A:ベースライン 2025年1月 〜 2026年1月 MS平均4.8件 / Google平均4.0件 Phase B(仮説) 2026年2〜3月 Mythosプレビュー利用開始? MS: 8.0件 / G: 12.5件 Phase C:正式発表後 2026年4月7日 〜 Glasswing正式スタート MS: 14.5件 / G: 10.5件 ↑ Microsoftは A→B→C と完全に段階的増加。仮説と一致。 Google は B でピーク後やや低下(既存スパイクとの混在あり)

仮説を支持する3つの根拠

①ローンチパートナーへの事前プレビュー提供は業界慣行として自然。
②Microsoftの最高深刻度件数がA→B→Cと単調増加する整合的パターン。
③Googleの最高深刻度が「正式発表1ヶ月前」の2026年3月に17件(全期間最大)を記録。

⚠ 注意

「2ヶ月前からプレビュー利用していた」という事実はAnthropicが公式発表していません。データのパターンがこの仮説と一致しているというだけで、確定事実ではありません。今後のデータ蓄積で検証が必要です。

06

🏢 参加企業・組織まとめ

世界を代表するIT・金融・セキュリティ企業が集結しています。

主導

Anthropic

AI開発企業(米国)

Claudeシリーズを開発するAI企業。Glasswingを主導し、Mythosというモデルをパートナーに提供してセキュリティ検証を行う。

プロジェクト主導Mythos提供
ビッグテック

Microsoft

ローンチパートナー

Windows・Azure・Office製品など世界中で使われるソフトウェアを持つ。今回の分析でも最も強いシグナルを示したパートナー企業。

単調増加パターン+200%
ビッグテック

Google

ローンチパートナー

Chrome・Android・GCP(クラウド)など広大なエコシステムを持つ。発表後の件数急増(+195%)が特に目立つパートナー。

+195%急増Phase B最大
セキュリティ

CrowdStrike / Palo Alto

世界トップのサイバーセキュリティ企業

エンドポイント・ネットワークセキュリティの世界最大手。Mythosが発見した脆弱性の分析・対応に関わる。

脅威分析防御強化
インフラ

AWS / Cloudflare

クラウド・ネットワーク基盤

世界のインターネットインフラを支えるプラットフォーム。脆弱性の影響範囲が特に広く、参加の重要性が高い。

クラウド保護CDN
金融・OSS

JPMorganChase / Linux財団

金融インフラ・オープンソース基盤

金融システムとオープンソースコミュニティ。世界中で動くLinuxベースのシステムのセキュリティ確保が主な目的。

金融インフラオープンソース

ローンチパートナー12社に加え、約50の組織が参加しています。IT・クラウド・セキュリティ・金融という、現代社会の根幹を支える分野がほぼ網羅されており、このプロジェクトの重要性の高さがわかります。

07

⚠️ 分析の限界と注意点

データが示す相関を過大評価しないために、正直に限界を説明します。

限界・注意点 内容 影響度
サンプル数が少ない 発表後のデータは2ヶ月分(n=2)のみ。統計的な有意性を主張するには不十分
Patch Tuesday・大型パッチの影響 MicrosoftのPatch Tuesday(月次パッチ日)・ChromeのリリースサイクルがデータにGlasswingとは無関係のスパイクを作る可能性
「発見」と「開示」の区別 JVNDBへの登録増加が「新たに発見された」のか「以前から知られていたが開示が促進された」のか、外部からは判別できない
中高
プレビュー開始時期は非公開 「2ヶ月前からプレビュー」という仮説はAnthropicが公式に確認していない情報
他の要因の可能性 セキュリティ研究者の増加、規制強化、研究トレンドなど、Glasswing以外の要因が件数増加を説明できる可能性も排除できない
⚠ 注意

今後6ヶ月のデータが分析の正念場です。2026年10月以降も高水準が続くようであれば「Glasswingの構造的な効果」と言えますが、2〜3ヶ月で元の水準に戻るなら一時的なノイズと判断すべきです。

08

✅ まとめ・総合評価

データが語る「状況証拠」の総合評価と、今後の注目ポイントをまとめます。

📈

全件数の相関

MS+59% / Google+195%。方向性は一致

🔴

最高深刻度の相関

MS+200%と最強シグナル。3段階増加が整合的

タイミングの一致

2ヶ月前仮説と データパターンが整合

⚠️

統計的限界

n=2のみ。確定には6ヶ月以上のデータが必要

✅ 総合評価

「相関がある」という主張は、このデータに限れば十分な根拠を持つ。

特にMicrosoftの最高深刻度(CVSSスコア9.0+)が「A→B→C」と完全に段階的に増加するパターンは、偶然の一致では説明しにくい。Googleも同方向の変化を示しており、仮説と実データのパターンが一致していることは事実。

ただし、因果関係の断定にはAnthropicの内部資料と、2026年10月以降のデータ継続が必要。今の段階では「非常に強い状況証拠がある」というのが正確な評価です。

🔭

今後の注目ポイント

2026年6〜9月のJVNDBデータ:高水準が続くかどうか
Anthropicの公式発表:プレビュー開始時期・成果の詳細
他社(AWS・Cisco・Apple等)のデータにも同様の変化が出るか
最高深刻度の継続上昇:MSが16〜17件、Google10件以上を維持するか

🛡️ データソース・参考情報

脆弱性データ:JVNDB(Japan Vulnerability Notes Database)jvndb.jvn.jp
対象期間:2025年1月〜2026年5月(17ヶ月)
分析対象:Microsoft・Googleの月別登録件数(全件 / CVSSスコア7.0以上 / 9.0以上)
Project Glasswing 正式発表:2026年4月7日

コメント