AIが『危険すぎる』と公開禁止に…Mythosがサイバーセキュリティを終わらせる日

最新サイバー攻撃・ニュース

📌 本記事は、公開情報・専門家報告をもとにした近未来シナリオの解説記事です。一部の情報は仮想シナリオを含みます。最新の公式情報は各機関の発表をご確認ください。

OSのアップデートを「後でいいか」と後回しにしていませんか? そのひとつの油断が今日、攻撃者に破られるかもしれません。2026年4月、Anthropicが自社AIを「一般公開するには危険すぎる」として非公開にするという、異例の事態が起きました。そのAIの名は「Claude Mythos(クロード・ミュトス)」。この記事では、Mythosが変えるサイバーセキュリティの現実と、今日から取れる対策をわかりやすく解説します。

  1. 🛡️ 「Mythos(ミュトス)」って何?
  2. 📖 まず「サイバーセキュリティ」って何?(超基礎)
  3. 🤖 Mythos(ミュトス)はどのくらいすごいのか?
    1. ① 「ゼロデイ脆弱性」を大量に自動で発見する
    2. ② 脆弱性を「連鎖」させてより大きな攻撃を作る
    3. ③ 攻撃の成功率:初回で83%
    4. ④ 500万回のテストをすり抜けたバグを発見
  4. 💥 Mythosは「サイバーセキュリティの世界」をどう変えるのか?
    1. 【変化①】攻撃の「技術的ハードル」が下がる
    2. 【変化②】「古いシステム」がとくに危険になる
    3. 【変化③】「防御側の猶予時間」が極端に短くなる
    4. 【変化④】「誰が攻撃しているか」がわかりにくくなる
    5. 【変化⑤】「善」としても使える:防御への活用
  5. 📊 数字で見るMythosの衝撃(ファクトまとめ)
  6. 😱 Mythosはすでに”漏れている”?
  7. 🔮 Mythosよりも「もっとすごいAI」が出てきたらどうなる?
    1. 「AIの進化」は止まらない
    2. 「もっとすごいAI」が出たら何が起きるか?
    3. 「能力の高原(プラトー)」問題
  8. 🔐 私たちにできる「対策」は?(個人・企業別)
    1. 👤 個人(一般ユーザー)ができること
      1. ① ソフトウェアを最新の状態に保つ(最重要!)
      2. ② パスワードを強化する
      3. ③ 不審なリンクをクリックしない(フィッシング対策)
    2. 🏢 企業・組織ができること
      1. ① 「AI脅威対応チーム」の設立
      2. ② セキュリティ予算を大幅に増やす
      3. ③ 「ペネトレーションテスト」をAIで自動化する
      4. ④ 量子コンピュータへの備えも同時に
      5. ⑤ 中小企業・地方自治体こそ注意が必要
  9. 🌐 世界はどう動いているか?
  10. 🤔 「Mythosは本当に世界の終わりなのか?」専門家の意見
  11. ❓ よくある質問(FAQ)
    1. Q:Mythosは今すぐ私のパソコンを攻撃できるの?
    2. Q:パスワードを強くするだけで大丈夫?
    3. Q:企業がProject Glasswingに参加するにはどうすればいい?
    4. Q:AIによるサイバー攻撃は法律で禁止できないの?
  12. ✅ まとめ:Mythosが教えてくれた「サイバーセキュリティの新常識」

🛡️ 「Mythos(ミュトス)」って何?

2026年4月7日、AIを開発するアメリカの会社「Anthropic(アンソロピック)」が、業界に衝撃を与える発表をしました。

新しいAIモデル「Claude Mythos(クロード・ミュトス)」の誕生です。

しかし、普通のAI発表と大きく違ったのは、こんな一言が添えられていたことです。

  「このAIは、一般に公開するには危険すぎる」

AIの会社が自ら作ったAIを「危険すぎる」と言って公開しない。こんなことが起きるのは、2019年にOpenAIがGPT-2を一時的に非公開にして以来、約7年ぶりのことです。

「サイバーセキュリティが変わる」って具体的にどういうこと? 初心者の方にもわかるよう、難しい言葉を使わずに解説していきます。

📖 まず「サイバーセキュリティ」って何?(超基礎)

サイバーセキュリティとは、インターネットやコンピュータの世界で「悪い人から守る活動」のことです。

もっと身近に言い換えると……

  • 🏠 あなたの家の鍵 = パスワード
  • 🦹 泥棒 = ハッカー(不正アクセスする人)
  • 🔍 泥棒が家の弱い箇所を探す = 「脆弱性(ぜいじゃくせい)」を探す
  • 🔓 鍵穴の欠陥を使って侵入する = 「エクスプロイト(脆弱性の悪用)」
  • 🔏 欠陥を修理する = 「パッチ(修正プログラム)を当てる」

ハッカーはソフトウェアの「欠陥(バグ)」を探して悪用してきましたが、これは非常に高度な技術が必要で、「誰でもできる」ことではありませんでした。Mythosの登場で、その常識が根本から変わろうとしています。

🤖 Mythos(ミュトス)はどのくらいすごいのか?

① 「ゼロデイ脆弱性」を大量に自動で発見する

「ゼロデイ脆弱性」とは、ソフトウェアのメーカー(ベンダー)がまだ把握・修正していない欠陥のことです。

家で言えば、「鍵師本人も気づいていない鍵穴の欠陥」。泥棒に見つかってしまったら、家主は対処のしようがありません。

🚨 重要

Anthropicの発表によると、Mythosは「事実上すべての主要なオペレーティングシステム、ブラウザ、ソフトウェアの欠陥を発見できる」とされています。テスト中に「数千件」のゼロデイ脆弱性が発見され、発表時点で99%はまだ未修正の状態でした。最も古いものは27年前のバグで、「セキュリティが高い」と信頼されているOpenBSD(※注:UNIXベースの高セキュリティOSの一つ)に潜んでいたものです。

② 脆弱性を「連鎖」させてより大きな攻撃を作る

これがMythosの本当に怖いところです。普通のAIなら、一つの欠陥を見つけてそれを利用するだけです。でもMythosは、

  1. まず欠陥Aを見つける
  2. 欠陥Aを使って別の場所の欠陥Bにアクセスする
  3. 欠陥Bを使って欠陥Cを攻撃する
  4. 最終的にシステムの核心部分を破壊する

という「脆弱性連鎖攻撃(エクスプロイトチェーン)」を自律的に実行できます。これは熟練したハッカーでも非常に難しいことで、今まではAIには不可能とされていました。

③ 攻撃の成功率:初回で83%

イギリスのAI安全機関(AISI)がMythosを評価したところ、専門家レベルのサイバー攻撃競技(CTF:ハッキング技術を競うセキュリティ競技)で73%の成功率を達成しました。2025年4月以前は、このようなタスクをこなせるAIモデルは存在しませんでした。さらに、実際の攻撃シナリオではエクスプロイト作成に83%の確率で初回成功しています。

④ 500万回のテストをすり抜けたバグを発見

あるコードの1行のバグが、なんと500万回ものテストを通過して発見されなかったのに、Mythosはそれを見つけています。人間のエンジニアがどれだけ頑張っても気づけなかった欠陥を、AIが炙り出すわけです。

💥 Mythosは「サイバーセキュリティの世界」をどう変えるのか?

【変化①】攻撃の「技術的ハードル」が下がる

今まで高度なサイバー攻撃は、プログラミングの深い知識・ネットワークの熟知・何年もの経験が必要でした。でも、Mythosのようなツールを使えば、プログラミングを少し知っているだけの人でも、高度な攻撃ツールをより低い技術水準で扱えるようになります。

⚠ 注意

Fortuneの報道によると、セキュリティ専門家は「AIは疲れることがない」という点を強調しています。人間のハッカーは試行錯誤に疲れてやめてしまいますが、AIは24時間365日、永遠に攻撃し続けることができます。これは防御する側にとって、根本的に性質の異なる脅威です。

【変化②】「古いシステム」がとくに危険になる

Mythosが27年前のバグを発見したことからもわかるように、古いソフトウェアや古いシステムに残る欠陥を掘り起こす能力が格段に上がります。

特に危険なのは「重要インフラ」です。電力網・水道・病院・交通・銀行など、私たちの生活に不可欠なシステムの多くは、「更新したら別の部分が壊れるかもしれない」という怖さから更新できずにいる古いソフトウェアで動いています。

AI科学者のDan Hendrycks氏は「電力網や水道システムのような重要インフラは、互換性の問題や連鎖的な故障リスクから何年も更新されていないものが多い。Mythosのようなモデルはそういったシステムへの脅威を劇的に高める」と警告しています。

【変化③】「防御側の猶予時間」が極端に短くなる

今までは「ハッカーが数週間〜数ヶ月かけて脆弱性を発見→企業が気づく→パッチを開発・配布(数日〜数週間)」という流れでした。

しかしAIが脆弱性発見〜エクスプロイト作成を数時間以内に自動でこなせるようになると、企業がパッチを当てる前に攻撃されてしまいます。Fortuneのインタビューで専門家はこう表現しています:「防御側のタイムライン(猶予時間)が急速に圧縮されている」。

【変化④】「誰が攻撃しているか」がわかりにくくなる

Mythosは攻撃しながら「痕跡を消す」能力も持つとされています。サイバー攻撃が起きても、それがどこの国の誰の仕業なのか、特定するのがより難しくなるということです。

【変化⑤】「善」としても使える:防御への活用

暗い話ばかりではありません。MythosはAnthropicの「Project Glasswing(プロジェクト・グラスウィング)」として防御側にも活用されています。

Microsoft・Google・Apple・Amazon Web Services・JPモルガン・チェース・NVIDIAなどが参加するこのプログラムでは、Mythosを使って自社システムの脆弱性を「敵より先に見つけて修正する」取り組みが行われています。Anthropicはこのために最大1億ドル(約145億円)の利用クレジット400万ドルの直接寄付をオープンソースセキュリティ組織に提供することを約束しました。

✅ 対策済み確認

AIセキュリティ会社AISLEは、広く使われるOpenSSLというソフトウェアで15件のCVE(共通脆弱性識別子:脆弱性の公式管理番号)を発見・報告。そのうち12件は一度のセキュリティリリースで修正され、25年以上前に埋め込まれたバグも含まれていました。OpenSSLのCTO(最高技術責任者)は「レポートの高品質さと、修正作業を通じた建設的な協力に感謝する」とコメントしています。

📊 数字で見るMythosの衝撃(ファクトまとめ)

項目 数値・事実
発表日 2026年4月7日
エクスプロイト作成の初回成功率 83%
専門家レベルCTFの成功率 73%(2025年4月以前はAIでは達成不可)
発見されたゼロデイ脆弱性 数千件(99%が未修正)
発見した最古のバグ 27年前(OpenBSD)
Project Glasswing提供クレジット 最大1億ドル(約145億円)
2025年のFBI被害報告件数 100万件超、被害額210億ドル(前年比+26%)
AI攻撃を受けた組織の割合 87%(SoSafe 2025年報告書)
企業の平均サイバーセキュリティ支出 売上の0.69%(IANS Research)

😱 Mythosはすでに”漏れている”?

もう一つ衝撃的な事実があります。Mythosは限定公開されているはずなのに、不正アクセスが発生したのです。

2026年4月、Discordの非公開グループが、Anthropicの外部業者の環境を経由してMythosへのアクセスに成功したことが報じられました。グループのメンバーの一人がAnthropicと関係する業者に勤めており、過去の慣行に関する情報をもとにモデルの保存場所を推測してアクセスしたとのことです。

🚨 重要

このグループはサイバー攻撃には使っていないと報告されていますが、発表当日からMythosを使い続けており、調査時点でもアクセスできる状態だったとBloombergが報じています。Anthropicは「調査中」として事態を認めました。これは「高度なAIは存在するだけでリスクになりうる」という現実を示す出来事です。

🔮 Mythosよりも「もっとすごいAI」が出てきたらどうなる?

「AIの進化」は止まらない

Mythosはすごいですが、技術は常に進歩します。現時点でも、サイバーセキュリティ特化のAIが複数存在し、Mythosの発表から数週間のうちに「Mythosの能力は小さく安価なモデルでも一部再現できる」ことが実証されました。

「もっとすごいAI」が出たら何が起きるか?

【段階1】Mythosレベル(現在)
  • 高度なハッカーと同等の能力をAIが持つ
  • 一部の組織が限定的に防御・攻撃に使える
  • セミプロのハッカーがより高度な攻撃手段にアクセスできる
【段階2】Mythosの次世代(近い未来)
  • 完全自律でシステムに侵入し、脆弱性を修正または悪用する
  • 攻撃が「秒単位」で完了するようになる
  • パッチを当てる速度より、攻撃の速度が上回る可能性
  • 国家レベルのサイバー戦争がより低コストで激化する
【段階3】さらに先(理論的・仮説的な未来)
  • AIが自らコードを書き、新しいマルウェアを自動生成する
  • 電力網・水道・医療システムへの攻撃が「自動化」される
  • AIが防御しつつ攻撃する「AI vs AI」のサイバー戦争が常態化する
⚠ 注意

専門家の見方は様々です。ジョージア工科大学のPeter Swire教授(元クリントン・オバマ政権顧問)は「多くのサイバーセキュリティの教授は、これはおおむね想定の範囲内で、量的な変化にとどまる」と述べています。最悪のシナリオよりは、防御と攻撃がともに進化していく「軍拡競争」的な状況になる可能性が高いとも言われています。段階3は現時点ではあくまで理論的・仮説的な話であることを念頭に置いてください。

「能力の高原(プラトー)」問題

一方で重要な視点があります。AIセキュリティ会社AISLEが実証したように、能力はモデルの大きさに単純に比例しないということです。

Mythosの主要な脆弱性テストで、なんと36億パラメータ(Mythosより遥かに小さい)のモデルでも同様の分析ができたことが示されました。つまり、「能力の壁」はモデルの大きさより、それをどう使うか(システム設計)にあります。

「サイバーセキュリティにおける能力のフロンティアはガタガタ(jagged)だ」とAISLEは表現しています。一つのモデルがすべての面で最強ということはなく、モデル単体より「システム全体の設計」が重要ということです。

🔐 私たちにできる「対策」は?(個人・企業別)

👤 個人(一般ユーザー)ができること

① ソフトウェアを最新の状態に保つ(最重要!)

WindowsやiOSのアップデートを「面倒だから後で」とほったらかしにしていませんか?アップデートには多くの場合、発見された脆弱性を修正するパッチが含まれています。これが最も即効性のある対策です。

✅ 対策済み確認

今すぐ確認しましょう:
✔ スマホのOSを最新にする(iOS・Android)
✔ パソコンのWindows / macOSを最新にする
✔ ブラウザ(Chrome・Safari・Firefox等)を最新にする
✔ よく使うアプリのアップデートを済ませる

② パスワードを強化する

AIが攻撃の準備をする際、弱いパスワードは数秒で突破されます。

  • パスワードマネージャー(1Password、Bitwarden等)を使う
  • 2段階認証(2FA)をすべての重要アカウントに設定する(SMS認証よりもGoogle AuthenticatorなどのTOTPアプリがより安全)
  • 同じパスワードを使い回さない
  • 【2026年推奨】対応サービスでは「パスキー(Passkey)」に移行する(パスワード不要の次世代認証方式)

③ 不審なリンクをクリックしない(フィッシング対策)

AIを使ったフィッシング詐欺(偽のメールやサイトで個人情報を盗む攻撃)は、より精巧になっています。送り主が怪しいメールのリンクは絶対にクリックしないようにしましょう。

🏢 企業・組織ができること

① 「AI脅威対応チーム」の設立

Bain&Companyはレポートの中で、多くの企業にとって最優先事項は「AI専用の脅威対応チームの設立」だと提言しています。AIによる攻撃は、従来の人間が担当するセキュリティチームでは対応しきれないスピードと複雑さを持つためです。

② セキュリティ予算を大幅に増やす

現在、多くの企業のサイバーセキュリティ支出は売上の0.69%にとどまっています。Bain&Companyは現在の計画(年10%増)では全く不十分で、最大2倍以上の増額が必要と試算しています。

🚨 重要

2025年のFBIのIC3(インターネット犯罪苦情センター)は100万件超の苦情を受け、被害総額は210億ドル(約3兆円)に達しました。前年比で26%増です。セキュリティへの投資を先送りするコストは、今後さらに上がり続けます。

③ 「ペネトレーションテスト」をAIで自動化する

Mythosのようなツールを、敵の代わりに「自社のシステムを攻撃させる」ことで、本物の攻撃が来る前に弱点を発見できます。これを「ペネトレーションテスト(侵入テスト)」と言い、Project GlasswingはまさにこのためにMythosを活用しています。

④ 量子コンピュータへの備えも同時に

Bain&Companyのレポートは、AIと並んでもう一つの脅威として量子コンピュータを挙げています。量子コンピュータは、RSAやECCといった現在広く使われている公開鍵暗号を将来的に無力化する可能性があります(AESのような対称暗号は比較的影響が少ないとされています)。2030年までに量子対応(ポスト量子暗号への移行)を終える必要があると指摘されています。

⑤ 中小企業・地方自治体こそ注意が必要

大企業はセキュリティ更新をしやすいですが、中小企業や地方自治体・インフラ管理者は予算不足でシステムを更新できないことが多いです。元アメリカ国家サイバー局長のKemba Walden氏は「中小企業や小規模機関が取り残されないよう、公民連携の投資を今すぐ推進する必要がある」と強調しています。

🌐 世界はどう動いているか?

  • 🏦 アメリカの財務省:スコット・ベッサント財務長官がワシントンで大手銀行幹部を集めた会議を開催し、Mythosを使って脆弱性を検出するよう呼びかけた。
  • 🏦 ゴールドマン・サックス、シティグループ、バンク・オブ・アメリカ、モルガン・スタンレー:Mythosのテストを開始したと報じられている。
  • 🇩🇪 ドイツの銀行:Mythosが引き起こすリスクについて当局や専門家に相談していると報告。
  • 🇬🇧 イングランド銀行:Mythosが明らかになった後、AIリスクテストを強化したと発表。
  • 🇺🇸 CISA(アメリカサイバーセキュリティ・インフラ安全保障局):Anthropicからすでにブリーフィングを受けている。

🤔 「Mythosは本当に世界の終わりなのか?」専門家の意見

パニックになる前に、冷静な専門家の意見も紹介します。

オックスフォード大学・Ciaran Martin教授(元英国NCSC CEO):

「大きな問題ではあるが、世界の終わりになる可能性は低い。私は終末論的な見方の端には立っていない」

ジョージア工科大学・Peter Swire教授:

「脆弱性がエクスプロイトに変換されやすくなるというのが本当のリスクだ。しかし防御への期待されるダメージは、最悪のシナリオよりずっと小さいだろう」

専門家の多くは「無視してよい問題ではないが、世界が終わるほどでもない」というスタンスです。大切なのは、冷静に事実を把握し、今できる対策をコツコツと積み重ねることです。

❓ よくある質問(FAQ)

Q:Mythosは今すぐ私のパソコンを攻撃できるの?

A:Mythosは現在、一般公開されておらず、限定的な研究・防御目的の利用に限られています。ただし不正アクセスによる流出が確認されているため、将来的なリスクはゼロではありません。基本的な対策(OS更新・2段階認証)を今すぐ実施することで、リスクを大幅に下げられます。

Q:パスワードを強くするだけで大丈夫?

A:強いパスワード+2段階認証は非常に効果的ですが、それだけでは不十分です。OSとアプリの更新(パッチ適用)を組み合わせることで、AIを使った攻撃に対しても「攻撃されにくい状態」を作れます。

Q:企業がProject Glasswingに参加するにはどうすればいい?

A:Anthropicの公式サイト(anthropic.com)から問い合わせることが可能です。中小企業向けの段階的なプログラムも検討されていると報じられています。

Q:AIによるサイバー攻撃は法律で禁止できないの?

A:不正アクセス禁止法などの既存法で対応できる部分もありますが、AI特有の攻撃(自動化・痕跡消去)への対応は各国で立法の動きが進んでいます。ただし技術の進化に法律が追いつくには時間がかかるのが現状です。

✅ まとめ:Mythosが教えてくれた「サイバーセキュリティの新常識」

変わったこと 変わっていないこと
攻撃ツールへの技術的ハードルが下がった 基本的な対策(パッチ・パスワード・2FA)が最重要
攻撃の速度が飛躍的に上がった AIは防御にも使える(両刃の剣)
27年前の古いバグも掘り起こされる 人間の判断・監視が依然として重要
国際的・組織的対応が不可欠になった 中小・個人も対策で差をつけられる
✅ 今日から始める対策チェックリスト

今すぐ:OSとアプリを最新にする。2段階認証(TOTPアプリ推奨)を設定する。
今週中に:パスワードマネージャーを導入する。対応サービスでパスキーを設定する。家族にフィッシング詐欺を教える。
企業なら:セキュリティ予算を見直す。AIを使ったペネトレーションテストを検討する。古いシステムの棚卸しをする。

サイバーセキュリティの世界では「完璧な防御」は存在しません。でも「攻撃されにくい状態」を作ることは、誰でもできます。

Mythosよりすごいモデルが出てきても、基本は同じです。「知ること」「備えること」「更新し続けること」。この3つがデジタル時代に生き抜くための最強の盾です。

最後に、Yoshua Bengio(ヨシュア・ベンジオ)チューリング賞受賞者の言葉を紹介して締めくくります:

「新しいしきい値が破られた:AIが初めて、大量のゼロデイ──サイバー攻撃に悪用できる未知の脆弱性──を自律的に発見するようになっている」

その言葉が現実になったのが、2026年4月7日のMythosでした。そして次の現実が来る前に、私たちには準備できる時間があります。

コメント