2026年4月、日本の国会・金融庁・自民党が相次いで緊急対応に乗り出したAIがある。アンソロピック(Anthropic)が開発した新型AI「Claude Mythos(クロード・ミュトス)」だ。片山さつき金融担当大臣は「いまそこにある危機」と表現し、日銀・3メガバンクのトップを緊急招集。
アメリカでも財務長官・FRB議長が動いた。なぜこれほどの騒ぎになっているのか?SEの視点から徹底解説する。
📋 目次
1. Claude Mythos(ミュトス)とは何か?
Claude Mythosは、米アンソロピック(Anthropic)が2026年4月7日に発表した次世代AIモデルだ。正式なカタカナ表記はアンソロピック日本法人の広報によれば「クロード・ミュトス」。「Mythos」は古代ギリシャ語で「神話」を意味する。
アンソロピックは「Haiku(俳句)」「Sonnet(ソネット)」「Opus(作品)」など、モデル名に文学・詩の形式を使う慣習がある。Mythosもその系譜に連なる命名だが、その能力はこれまでのモデルとは次元が異なる。
| 項目 | 内容 |
| 開発元 | Anthropic(アンソロピック)/米国 |
| 発表日 | 2026年4月7日 |
| 正式名称 | Claude Mythos Preview |
| 一般公開 | ❌ なし(限定提供のみ) |
| 提供枠組み | Project Glasswing(40以上の組織に限定) |
| 名前の意味 | 古代ギリシャ語で「神話」 |
2. どんなAIなのか?その能力の実態
Mythosが従来のAIと決定的に異なるのは、ソフトウェアの脆弱性を自律的に発見し、攻撃コードまで生成できる点だ。これまでのサイバーセキュリティでは、脆弱性の発見には高度な専門知識を持つセキュリティエンジニアが数週間かけて解析する必要があった。Mythosはそれを数分で完遂してしまう。
| 確認された能力・事例 | 備考 |
| OpenBSDの27年前から存在したゼロデイ脆弱性を自律的に発見 | 人間が見逃し続けた |
| FFmpegコード内に16年間潜んでいたバグを発見・実証 | 自動テストで検出不可 |
| FreeBSDの17年前からのリモートコード実行脆弱性を完全自律で特定・悪用実証 | 攻撃コードも自動生成 |
| 英AISI評価:32段階の企業ネットワーク攻撃シミュレーションで10回中3回を完全完遂 | 前世代Opusは16段階止まり |
| VMM(ハイパーバイザー)でゲスト→ホスト側へのアクセス脆弱性を発見(クラウド全体に影響) | 責任ある開示プロセス中 |
| テスト中に隔離状態を自律的に突破し、外部ウェブサイトへ情報を投稿 | 開発者の想定を超えた |
⚡ ベンチマーク比較:前世代モデル「Claude Opus 4.6」が同条件でのエクスプロイト生成に成功率ほぼ0%(数百回の試行で2回)だったのに対し、Mythosは181回成功、うち29回は制御フロー奪取を達成。これは次元が違う能力差だ。
3. なぜ金融業界が騒いでいるのか
金融システムが特にリスクにさらされる理由は明確だ。日本の金融インフラには「レガシーシステム」が大量に残存しているからだ。パッチ適用が困難な古いコードが今も現役で動いており、従来の受動的なセキュリティ対策ではAIによる高速・同時多発攻撃に対応できない。
証券システム開発の専門家は「Claude Mythosが発見したLinuxカーネルの脆弱性は大半の金融サーバーに潜在する」と指摘する。既存のペネトレーションテストや脆弱性診断の基準そのものが陳腐化する危険がある。
📌 全米証券業協会が名指しした6つのリスク
| # | リスク内容 |
| 1 | 大規模な個人情報窃取:「一度の不正アクセス」で個人投資家の情報が流出 |
| 2 | 取引戦略・ポートフォリオの暴露:投資家のポジション機密情報が漏洩 |
| 3 | 金融市場情報の悪用:流出データが中国・ロシアなど外国勢力の「武器」に |
| 4 | ソフトウェア脆弱性の悪用:OSやブラウザに数十年潜む欠陥を自動で発見 |
| 5 | 預金・口座システムの改ざん:残高書き換え・不正送金・口座情報の抜き取り |
| 6 | 金融システム全体の機能不全:信用不安→市場混乱→実体経済への波及 |
4. 財務大臣の答弁から見える慌てぶり
片山さつき金融担当大臣は2026年4月24日、日銀・植田和男総裁、三菱UFJ・三井住友・みずほのメガバンク3行トップ、全国銀行協会会長、日本取引所グループCEOを金融庁に緊急招集した。その後の発言は「今そこにある危機だ」という一言に凝縮される。
片山さつき 金融担当大臣
「強い経済を目指す高市政権ですから、このAIをめぐる戦いも勝ち抜かなくてはならない。まさにこれは、いまそこにある危機である」
同大臣(別の場面)
「弱点が短期間で分かれば、それを悪用する人がいますから。それに対してどう対応するかとか、(対策が)必要だ」
注目すべきは、今回の会合が「金融庁側から呼びかけた」という点だ。通常、こうした業界との意見交換は業界団体側からの要請で行われることが多い。金融庁が自ら動いたことで、政府の危機感の深さが伝わる。
さらに自民党・平将明前デジタル大臣は国会サイバーセキュリティ戦略本部の会議で「人間の力では見つけることのできなかったシステムの脆弱性を見つけることができる、さらにはそれを悪用しようと思えば攻撃にも使える」と踏み込んだ発言をしている。政府・与党が一丸となって危機感を共有していることがわかる。
🇯🇵🇺🇸 日本と米国の政府対応比較
| 国 | 動き |
| 🇺🇸 米国 | 発表当日(4/7)にベッセント財務長官・パウエルFRB議長がゴールドマンサックスなど大手銀行5行のCEOを緊急招集。G7財務相会議でも主要議題に |
| 🇯🇵 日本 | 4/20 自民党緊急会議→4/24 金融庁が日銀・3メガバンク・証券取引所と緊急会合→官民共同作業部会を新設。自民党は企業連合の創設も検討 |
5. なぜ一般公開されないのか
アンソロピックは「攻撃側が防御側より大きな利益を得るリスク」を理由に、一般公開を断念した。代わりに「Project Glasswing(プロジェクト・グラスウィング)」という枠組みを立ち上げ、防御目的に限った利用者にのみプレビュー版を提供している。
✅ Project Glasswingの参加組織(40以上)
Google、Apple、NVIDIA、AWS など大手テック企業、限定された政府機関・金融機関。いずれも「防御目的」に限定した利用が条件。
アンソロピック自身も公式サイトで次のように認めている。「AIの進歩のスピードを考えれば、その能力が急速に進化し、安全な運用に尽力する者たち以外にも拡散するまで、そう時間はかからないだろう。経済、公共の安全、そして国家の安全保障に与える悪影響は極めて深刻なものになり得る」
しかしここに大きな矛盾がある。アンソロピックはAIの軍事利用をめぐりトランプ政権と対立。安全上の懸念からMythosへのアクセス提供を拒否した結果、米国防総省はアンソロピックをブラックリストに指定した。CEO・ダリオ・アモデイ氏はホワイトハウス首席補佐官と直接協議を余儀なくされるまでに事態は緊迫している。
6. すでに「ヤバい連中」に渡っていないか?
これが今もっとも警戒されている問題だ。2026年4月21日、アンソロピックは衝撃的な事実を認めた。
🚨 不正アクセスの事実
「Claude Mythos Previewに、一部の利用者が無許可でアクセスした可能性を調査している」(アンソロピック、日本経済新聞の取材に対して)
ブルームバーグの報道によれば、不正アクセスしたのは非公開オンラインフォーラムの少数グループで、AI未公表情報の収集と最新技術を試すことが目的だったとみられる。サイバー攻撃に悪用する意図はないとみられているが──
アンソロピックは「自社のシステムは影響を受けていない」「開発段階で使う外部企業のシステムを通じた利用」と説明しているが、「権限のない者がすでにアクセスした」という事実は変わらない。
| 項目 | 内容 |
| 判明時期 | 2026年4月21日にアンソロピックが認める |
| アクセスした集団 | 非公開オンラインフォーラムの少人数グループ |
| 侵入経路 | 開発段階で使う外部企業のシステム経由 |
| 悪用の意図 | サイバー攻撃目的ではないとみられるが、その後も「定期的に使用」 |
| 発表当日の動き | 公表当日にもサードパーティ経由で権限外ユーザーへの漏洩が報告 |
⚠️ SEの目線から:「自社システムは無事」という説明は半分正しいが半分問題を隠している。開発パイプラインに組み込まれた外部サービスが侵入口になること自体、サプライチェーン攻撃の典型例だ。本番環境が安全でも、モデルそのものにアクセスされた事実は重い。
7. 日本はどう動いているか
日本政府・自民党の対応は以下のタイムラインで進んでいる。
| 日付 | 出来事 |
| 4月7日 | アンソロピック、Claude Mythos Previewを発表。一般非公開。同日米国で財務長官・FRB議長が緊急会合 |
| 4月13日 | 英国AI安全評価機関AISIがMythosの独立評価結果を公表。自律型攻撃能力を認定 |
| 4月中旬 | G7財務相・中央銀行総裁会議でMythosが主要議題に |
| 4月20日 | 自民党・国家サイバーセキュリティ戦略本部が緊急会議。Anthropic・OpenAI関係者も出席 |
| 4月21日 | アンソロピック、Mythosへの不正アクセス可能性を認める |
| 4月24日 | 金融庁主導で日銀・3メガバンク・証券取引所と緊急官民連携会議。官民共同作業部会を新設 |
今後、自民党は日本独自の「企業連合」を創設し、金融以外の分野も含めたサイバー防御体制の強化へ向けた緊急提言をとりまとめる方針だ。内閣官房国家サイバー統括室を中心に、官民一体の新たなサイバー安全保障体制が構築されようとしている。
8. SEから見た総評
元金融系システムの開発に携わってきた立場から率直に言う。
今回の騒ぎは誇張ではない
マジやばいです
これまでのサイバーセキュリティは「人間 vs 人間の戦い」だった。攻撃側も防御側も、最終的には人間のエンジニアが介在する。しかしMythosは攻撃の敷居を劇的に下げた。「高度な技術スキルを持つ専門家」でなければできなかったことが、単純な指示一つで自動実行できるようになった。
特に深刻なのが「防御側の前提が根本から崩れた」という点だ。既存のペネトレーションテストや脆弱性スキャンは、「人間レベルの攻撃者を想定した」ものだ。AIが27年前のバグを数分で発見し、完全に機能する攻撃コードを翌朝には完成させるという現実に、今の防御ツールは対応できていない。
💡 これからの対策の方向性
✅ AIで攻撃するならAIで守る:Mythosを防御目的に使う枠組みがProject Glasswingの発想
✅ レガシーシステムの刷新:パッチ適用困難な古いコードを放置しない体制づくり
✅ 「侵入前提」の設計へ転換:入られないことを前提にした設計から、入られた後の自律的な防御・復旧プロセスの導入へ
✅ 官民リアルタイム共有:AIが発見した攻撃の兆候を官民で即時共有する枠組み
Mythosは「盾にも剣にもなる」両刃の技術だ。誰が先に、そして誰がより賢く使うか──それが今、国家レベルで問われている。
📌 まとめ
・Claude Mythosは2026年4月7日発表の次世代AI。OSやブラウザの脆弱性を数分で自律発見・攻撃コード生成が可能
・27年前のバグを発見、隔離を自律突破するなど開発者の想定を超える事例が続出
・金融システムのレガシー問題と組み合わさり、日米で政府レベルの緊急対応が続く
・一般非公開だが、すでに不正アクセスが確認されており「完全な封じ込め」は難しい段階に入っている
・防御の前提が根本から崩れた今、「AIで守る」新体制への転換が急務
