Claude Mythosとは何か──自律型エクスプロイトAIが変えた攻撃の前提
クロード・ミュトス(以下、Mythos)は、ソフトウェアの脆弱性を自律的にスキャン・特定し、それを攻略する攻撃コード(エクスプロイト)を自動生成する「エージェント型AI」だ。OpenBSDに27年間見過ごされてきた脆弱性の発見にも成功しており、過去のセキュリティパッチの修正ミスまでもがAIによる「新たな攻撃対象領域」になりうることを示した。
直近の動きも速い。公式発表と同時に発足した共同防衛コンソーシアム「Project Glasswing」にはMicrosoft・Apple・Googleなど40社以上が参加。2026年5月29日にはAnthropicが「数週間以内にMythos級の能力を全商業ユーザーに解放する」方針を示し、2026年6月2日には15ヵ国150組織へのアクセス拡大が決定した。Mythosへのアクセス格差は、急速に縮まりつつある。
日本政府対応はYATA-Shieldと日本版Glasswing、金融庁要請
Mythosの発表以降、日本政府は異例の速度で動いた。
2026年5月18日、内閣官房の国家サイバー統括室(NCO)が「Project YATA-Shield(プロジェクト・ヤタ・シールド)」を発表した。名称は日本神話の三種の神器「八咫鏡(やたのかがみ)」に由来する。YATA-Shieldは自民党主導の「日本版Project Glasswing」(民間企業連合)と並走する、14省庁が連携する政府側の包括的対策パッケージだ。情報通信・金融・電力・医療・航空など15の重要インフラ分野にAIを用いた脆弱性管理と侵入検知プロセスを配備する。
2026年6月3日、松本尚デジタル大臣兼サイバー安全保障担当大臣は閣議後会見でMythosプレビューのアクセス権取得とYATA-Shieldへの組み込みを公式表明した。「Mythosのみに依存せず、他社製AIモデルも積極的に併用し、多層的な防衛体制を構築することが肝要だ」という発言は、特定モデルへの依存を戒めるものとして注目に値する。
金融庁・日銀 緊急要請9項目の読み方
なぜ金融業界が最初に動くのか。中谷氏は3つの理由を挙げた。攻撃者の金銭目的が増加する中、金融機関はランサムウェアをはじめとする攻撃の主要ターゲットだ。金融システムの機能不全は国家経済と国民生活への影響が甚大になる。そして国際的な緊張のグレーゾーンにおいて、通信と金融は歴史的に攻撃対象になりやすい。この3点が重なることで、金融インフラはAI時代の最優先防衛対象に位置づけられている。
2026年5月22日、金融庁と日本銀行は連名で「フロンティアAIによる脅威変化を踏まえた金融機関等の短期的な対応」を発出した。通常のガイドライン改定プロセスを経ず「概ね1ヵ月以内」という極めて短い対応期限を設定した事実上の義務化通知は、業界に強い緊張をもたらした。
9項目の中で特に重要な3点がある。第6項のCVSS(共通脆弱性評価基準)スコアだけでなく「実際に自社環境で攻撃が成立するかどうか」を評価するリスクベースのパッチ優先運用を求める点。第7項のWAF(Webアプリケーションファイアウォール)、MFA(多要素認証)、EDR(エンドポイント監視)による多層防御の構築を要求する点。第8項「能動的なシステム停止への備え」──防御不可能と判断した場合に経営層の意思決定でシステムを能動的に停止する手順の整備だ。
この緊急要請の背景には地方銀行(地銀)への危機感がある。レガシーシステムの割合が高く外部ITベンダーに依存しがちな地銀は、AIを活用したランサムウェアやサプライチェーン攻撃の格好の標的だ。金融インフラのリスクは個別行の対策だけでは完結しない。金融ISAC(業界横断の情報共有組織)の自動化、SWIFT(国際銀行間通信協会)・全銀システム・日銀ネットといった共通インフラの防衛、複数の金融機関が共用するITベンダーへのサプライチェーンリスク管理——この3層にわたる業界横断の連携が、次の段階の鍵となる。
