はじめに
ここしばらく、Anthropicが2026年4月に発表し限定提供した「Claude Mythos Preview」をめぐる議論をいくつかの記事で追ってきました。読めば読むほど気になってきたのが、「Mythosは脅威なのでアクセス権が必要」というような扇動にも似た報道だけでこの話を整理してよいのか、という点です。本記事では、その問題意識を中心に、現時点で公開されている情報を自分なりに整理してみたいと思います。
先に結論を言ってしまうと、 Mythosに限らず、AIを前提にしたサイバーセキュリティの時代は既に始まっている。 そのため、 AIによる高速かつ高頻度のサイバーセキュリティ対策がすべての組織に既に求められている。 ということです。
本記事の要点は以下のとおりです。
-
Anthropicが公開を制限したClaude Mythos Previewは、脆弱性発見と攻撃シナリオの自律生成でフロンティアAIの能力曲線を一段押し上げました。AISIの測定でもサイバータスクの自律遂行能力は約4.7カ月で倍増しており、MythosとGPT-5.5はこの既存トレンドをさらに上回っています。
-
各種報道を見ていて個人的に一番気になるのは、「Mythosだけが特異的に危険」という見方の限界です。Anthropicは安全性文化からリスクを明示的に開示する稀有な企業ですが、他社の沈黙は能力差ではなく文化差の可能性があり、AISI評価でもGPT-5.5は一部の軸でMythosと並んでいます。触っている所感としても、GPT-5.5 Proのように人間を明らかに超えた推論能力を持つ派生モデルでは、Mythos相当のサイバー能力がすでに実現していても不思議はないように感じます。
-
Google Threat Intelligence Group(GTIG)の脅威報告では、AIによって開発された可能性が高いゼロデイ悪用の初確認も含め、攻撃者によるAI活用がすでに研究段階を抜けて運用段階に入っていることが示されています。
-
つまり「ポストMythos」と呼ばれるAI駆動サイバーセキュリティの時代は、Mythos Previewの一般公開を起点として始まるのではなく、他社モデルや地下での利用を通じてすでに事実上始まっているとも解釈できます。組織側の論点も、AIによる脆弱性発見の量から、見つかった脆弱性をどれだけ速く処理・修正できるかという供給側の制約に移っていきます。
1. Claude Mythos Previewとは何だったか
Anthropicは2026年4月、サイバーセキュリティに強いフロンティアモデル「Claude Mythos Preview」を公開しました。対象システムに対して脆弱性スキャンと攻撃シナリオの検証を反復実行し、結果をレポートとして出力するエージェントです。同社の説明によれば、主要OSや主要Webブラウザを含む重要ソフトウェアから、多数のゼロデイ脆弱性を発見しているとのことです。複数の脆弱性を連鎖させたブラウザ攻撃や、Linux環境での権限昇格まで自律的に組み立てた事例も確認されています。
特に注目すべきは、Anthropic自身がセキュリティリスクを理由として、Mythosの一般公開を見送ったことです。提供はProject Glasswingという限定枠組みに絞られ、AWS、Apple、Cisco、Google、JPMorgan、Microsoft、NVIDIA、Palo Alto Networksなど、防御を目的とする一部の組織にだけアクセスが付与されています。
技術的に見ると、Mythosは従来の脆弱性スキャナーの延長線上にはありません。従来型ツールが既知パターンとの照合を中心とする検索型処理だったのに対して、Mythosが見せたのは、コード解析、設計意図の推定、実装とのズレの発見、検証環境の構築、攻撃の再現、条件を変えた試行といった、これまで人間のセキュリティ研究者が中心的に担ってきた一連の作業を、エージェント自身が回せる能力です。
ITmediaの連載「Tech Starter」で平川良氏が書かれているコラム「Claude Mythosがもたらすセキュリティビジネス激変の可能性 二極化していく“業界のこれから”」は、この変化を「生成AIが本気で実用フェーズに入った最初の領域はセキュリティ攻撃側である」と整理しています。攻撃のROIが計算しやすく、目的が明確で対象を絞り込みやすいセキュリティ攻撃領域は、AIエージェントとの相性が構造的にとても良い領域だ、という指摘です[1]。
2. AISI評価に見るフロンティアAIのサイバー能力進化
AISIは、フロンティアAIモデルが自律的に遂行できるサイバータスクの長さを、人間の専門家の所要時間と比較しながら継続的に測定しています。2026年5月公開のレポートによれば、80%信頼度におけるサイバータスクの長さは、次のような速度で倍増しているそうです[2]。
| 推計時点 | 倍増サイクル |
|---|---|
| 2025年11月 | およそ8カ月 |
| 2026年2月 | およそ4.7カ月 |
つまり、能力の倍増サイクルそのものが、わずか数カ月のうちに半分ほどまで短くなっています。年単位の進化ではなく、月単位の進化が、いまのフロンティアAIで観察されているという状況です。
Claude Mythos PreviewとOpenAI GPT-5.5は、この既存トレンドをさらに上回る結果を見せました。AISIが運用するサイバーレンジ(小規模な企業ネットワークを模した攻撃演習環境)では、次のような結果が記録されています[2:1]。
- Mythos Preview:「The Last Ones」を10回中6回、「Cooling Tower」を10回中3回、それぞれ完遂
- GPT-5.5:「The Last Ones」を10回中3回完遂
「Cooling Tower」をAIモデルが完遂したのは、AISIの観測上はじめてのことだそうです。AISI自身は、これが一時的な性能突出なのか、それとも新しい加速トレンドの起点なのかについての判断は現時点では保留する、というスタンスを取っていますが、評価レンジの上限に複数のモデルが到達しつつあるという事実は、はっきりと示されています。
3. 脅威はMythosだけではなく、LLM全般への総合的なウォッチが必要
Mythos Previewをめぐる議論は、しばしば「特定モデルが特異的に危険だ」という枠組みで語られます。ただ、その整理にはいくつか引っかかる点があるように感じています。
3.1 AnthropicのAIアライメント文化に起因する開示行動
AnthropicはAI業界のなかでも、AIアライメントと安全性研究を経営の中核に据える企業として知られています。自社モデルの危険な能力を明示的に自己申告し、リスクを理由に商用公開を制限するという判断は、企業のマーケティング戦略として見ると、かなり珍しい行動です。
逆に言えば、同じ水準のリスク開示文化を持たない企業の沈黙は、必ずしも能力が低いことを意味するわけではありません。リスク開示の温度差は、能力の差ではなく企業文化の差から来ている可能性もあるのではないかと感じます。
3.2 GPT-5.5および派生モデルの相対的な位置
AISIの公開資料を見ると、サイバーレンジ評価ではGPT-5.5もMythos Previewと並ぶ水準の能力を示しています。ところがOpenAIはAnthropicと同じ水準のリスク開示を行っていないため、市場関係者や一般のユーザーの認識上、GPT-5.5のサイバー能力は実態より一段控えめに受け止められている可能性があるかもしれません。
推論時間や計算資源を拡張した派生モデルであるGPT-5.5 proなどを実際に触ってみると、Mythos相当の脆弱性発見能力がすでに実現していてもおかしくないと感じます。Mythosが「公開制限の対象」になっている一方で、同等の能力を持つ可能性のあるモデルが標準的な商用APIから利用できるとすれば、リスク管理上の意味合いはそれなりに大きそうです。
3.3 地下市場での先行進行
ITmediaのコラムは、この点について構造的な視点を示しています。本当にクリティカルな脆弱性スキャナーは、経済合理性から考えても公開市場には流れにくいというものです。攻撃者は個別案件で活用し、結果のみを収益化する誘因を持っています。だとすれば、MythosはあくまでAnthropicという特殊な企業の手元から偶然見えた氷山の一角であり、「Mythosショック」は実態としては地下ですでに起きている可能性がある、という見立てです[1:1]。
3.4 観察の総合
以上を合わせて見ていくと、「ポストMythos時代」はMythos Previewの一般公開を起点として将来到来するものではなく、Mythos以外のフロンティアモデル群と、可視化されていない地下利用の組み合わせを通じて、すでに事実上始まっていると見るのが自然ではないでしょうか。
4. 攻撃者によるAI活用の実証事例──Google脅威インテリジェンス報告
この見立てを裏付ける実証データとして、Google Threat Intelligence Group(GTIG)が公表した脅威インテリジェンス報告が参考になります。要点を整理すると、次のようになります[3]。
- 攻撃者によるAI活用は、脆弱性発見、エクスプロイト開発、マルウェア生成、偵察、情報操作、サプライチェーン攻撃の各領域に広がっている
- GoogleはAIによって開発された可能性が高いゼロデイ悪用を、はじめて確認したと記述している
- 中国・北朝鮮を背景とする脅威アクターは、AIを脆弱性研究やPoC検証に組み込んでいる
- 「PROMPTSPY」と呼ばれるAI連携型マルウェアは、端末状態を解釈してコマンドを動的に生成する機能を備える
- 攻撃者集団「UNC6780(別名TeamPCP)」は、AI環境やソフトウェア依存関係そのものを初期アクセス経路として狙っている
Googleはこの傾向を「匿名攻撃の標準運用化(operationalize autonomous attack frameworks)」と表現しています。攻撃者にとってAIは研究段階の道具ではなく、業務に組み込まれた標準ツールとしてすでに機能している、という整理です。
5. 産業構造への影響
Mythos級モデルが普及した場合の影響は、攻撃力の単純な増加ではなく、関連産業の構造的な組み換えとして見ておく必要があると考えています。
5.1 攻撃のスケーラビリティが変わる
ITmediaのコラムが指摘するとおり、AIエージェントによる攻撃の本質は「スケーラビリティ」の変化にあります。これまで熟練エンジニアが1社あたり数週間をかけていた攻撃工程を、AIエージェントは数百社に対して並列に、かつ低コストで実行できるようになります[1:2]。
攻撃単価の低下は、攻撃対象の優先順位そのものを変えていきます。「割に合わない」として実質的に放置されてきた、サードパーティーツール、自社開発の業務アプリ、中小企業のサーバー、忘れられた管理画面などが、新たに攻める価値のある対象として浮上してくる可能性があります。
5.2 バグバウンティ市場の構造変化
AIスキャナーの普及は、定型レベルの脆弱性報告を大量に生み出します。報告数の増加と単価の下落が同時に進行することで、市場全体としてはコモディティ化が進んでいきそうです。実際、HackerOneが運営するInternet Bug Bountyは、AI生成のOSS向け脆弱性報告の急増を受けて、新規プログラムの受付を一時的に停止する措置を取っています。
一方で、複数の不具合を連鎖させる「未知のカテゴリー脆弱性」の発見は、依然として高度な人間の判断と経験を要する領域として残ります。結果として、トップ層の研究者は「希少性の高い脆弱性発見ビジネス」へ移行し、中間層の人材は雇用機会を失う、という構造変化が起きるのではないかと予想されます[1:3]。
5.3 発見能力と修正能力の非対称性
脆弱性を「発見する能力」と「修正する能力」は、本来別の話で、両者の供給制約は対称になっていません。
AnthropicがProject Glasswingで採用しているのは、攻撃側より先に防御側にMythos相当の能力を提供することで、重要基盤の脆弱性を先回りで修正する戦略です。発想自体は合理的ですが、見つかった脆弱性を分類・再現し、影響範囲を見積もり、修正パッチを開発・テスト・配布し、最終的に顧客環境へ適用するまでの一連のプロセスが追いつかない場合、防御側には未修正の危険情報だけが蓄積していくことになります。
セキュリティの本質は、発見ゲームというより、修正と運用のゲームです。ポストMythos時代の本当のボトルネックは、この修正・運用能力の供給制約に移っていくのではないかと思っています。
6. では、組織としてどう動いていくか
ここまでの整理を踏まえて、組織として取れる対応の方向性を、できるだけ実務寄りにまとめてみます。
6.1 外部公開資産の網羅的な把握
インターネットから到達できるサーバー、VPN、管理画面、クラウドの公開設定、SaaS連携、CI/CDパイプライン、開発用に放置されたままの環境。これらを継続的に把握する仕組みが必要になります。AIによって攻撃の射程が広がると、これまで攻撃対象として認識されてこなかった「忘れられた管理画面」や「期限切れの認証設定」が、最初の侵入経路になりやすくなります。
6.2 パッチ適用サイクルの短縮
修正情報の公開と同時に攻撃側の解析も加速する以上、月例更新を前提にしたパッチ適用サイクルはもう現実的ではなくなってきます。Nデイ脆弱性(修正パッチが公開済みの脆弱性)の悪用までの時間は、AIによって大きく短くなります。重要な外部公開システムについては、通常パッチ、緊急パッチ、例外承認、ロールバック、顧客通知の手順を、平時のうちに整えておきたいところです。
6.3 脆弱性報告のトリアージ体制
AIによる脆弱性発見件数の増加は、防御側にとっては「報告の洪水」を意味します。重複の排除、再現性の確認、悪用可能性の評価、事業影響に基づく優先順位付け、修正担当への連携、完了追跡までを、安定して回せる体制があるかどうかが、組織のセキュリティ水準を大きく左右しそうです。
6.4 防御側でのAI活用と統制
Mythos相当の高度モデルが手に入らなくても、現行の汎用フロンティアモデルだけで、脆弱性スキャン、報告の重複排除、再現手順の整理、初期パッチ案の生成、クラウド設定レビュー、プルリクエストのセキュリティチェックといった作業を支援することは可能です。
ただし、防御用AIの運用には統制が欠かせません。コード解析は隔離環境で行う、秘密情報はマスキングする、外向き通信は限定する、エージェントの権限は最小化する、ログを必ず残す、AIが生成したパッチは人間とCIで検証する──こうした基本管理を欠いた防御AIは、それ自体が新しい攻撃面になってしまう可能性があります。
6.5 AIサプライチェーンの防御
GTIGの報告が示すとおり、AI関連ソフトウェアの依存関係、エージェント基盤、API連携、開発ワークフロー自体が、すでに攻撃対象になっています[3:1]。LLMラッパー、エージェントのスキル定義、MCPなどのツール連携、GitHub Actions、PyPIやnpmの依存関係、APIキーの管理、プロンプトテンプレートなど、全構成要素がセキュリティ管理の対象に入ってきます。AIの導入は、自動化を手に入れると同時に、新しい攻撃面を組織に持ち込む行為でもある、という前提で設計したいところです。
7. まとめ
Claude Mythos Previewは、サイバーセキュリティの歴史における重要な転換点として記録される可能性が高いと考えています。ただし、その重要性は「Mythosが特異的に危険なモデルだった」というところに由来するのではなく、Mythosが見せた能力が、特定の研究所だけの例外ではなく、フロンティアモデル全体の進化として顕在化し始めている――つまり MythosはAIを前提にしたサイバーセキュリティ時代の一つの象徴的な代表例である というところにあるのではないでしょうか。
AISIの評価では、GPT-5.5がMythosと並ぶ水準のサイバー能力を示し、サイバーレンジの完遂事例まで記録されています。GTIGの報告では、攻撃者によるAI活用が現実の脅威としてすでに進行しており、AI開発の可能性が高いゼロデイ悪用の初確認まで報告されています。ITmediaのコラムは、可視化されていない地下市場で「Mythosショック」がすでに起きている可能性に触れています。
これらをまとめて見ていくと、「ポストMythos時代」とは、Mythos Previewが誰でも使えるようになる時代を指す言葉ではなく、脆弱性の発見・検証・悪用・修正の全プロセスがAIによって加速していく時代を指す言葉として捉えるのが自然なのではないかと思います。そしてその時代は、もう始まっています。
そういうわけで、現在あらゆる組織に問われているのは、 Mythosへのアクセス権を入手できるかどうかだけではなく(もちろんそれも重要なので並行して進めていく必要がありますが)、 現在持ちうる武器(パッチ適用等の古典的対策、セキュリティガバナンスの確保、そして利用可能な先端AI)をどれだけ実用可能なものに仕立てあげることができるか ということだと思います。
※本記事はGPT 5.5 proが生成したものを人間がチェックして作成しています。
-
平川良「Claude Mythosがもたらすセキュリティビジネス構造変化の可能性──業界の『これから』を読む」ITmedia NEWS、2026年5月13日。https://www.itmedia.co.jp/news/articles/2605/12/news077.html ↩︎ ↩︎ ↩︎ ↩︎
-
AI Security Institute, "How fast is autonomous AI cyber capability advancing?", May 13, 2026. https://www.aisi.gov.uk/blog/how-fast-is-autonomous-ai-cyber-capability-advancing ↩︎ ↩︎
-
Google Threat Intelligence Group, "Adversaries Leverage AI for Vulnerability Exploitation, Augmented Operations, and Initial Access", Google Cloud Blog. https://cloud.google.com/blog/topics/threat-intelligence/ai-vulnerability-exploitation-initial-access ↩︎ ↩︎
アクセンチュア株式会社に所属する社員有志による運営です。アクセンチュアの社員による様々な発信をまとめています。なお、投稿内容は社員個人の見解であり、所属する組織を代表するものではありません。
Discussion