AIが自律的に脆弱性を突く時代──Anthropic Mythos と、中堅企業がいま着手すべき"レガシー刷新"
目次 [非表示]
2026年4月、AnthropicがClaude Mythos Previewを限定公開した。主要OS・主要ブラウザのゼロデイ脆弱性を自律発見し、連鎖して悪用できる、これまでとは性質の違うAIだ。攻撃能力が拡散したとき、最初に崩れるのは大企業の最新システムではなく中堅企業のレガシー資産である。
本稿はMythosが示した事実を整理し、中堅企業(従業員50〜300名規模)が次の2〜3年で着手すべき業務システム刷新の方向性を、株式会社ロフタルの自社SaaS PigeonCloud運用と受託開発の知見から述べる。
Anthropic「Mythos」とは何か──2026年4月、AIが越えた一線
2026年4月7日、AnthropicはClaude Mythos Previewを公式に発表した。発表を受けてTechCrunchやBloombergが報じ、英国AI Security Institute(AISI)が独立評価レポートを公開した。これまでのフロンティアモデルと決定的に違う点は3つある。
ゼロデイを自律発見・連鎖悪用
指示を受けると、主要OS(Windows / macOS / Linux)と主要ブラウザのゼロデイを自律発見し、複数を組み合わせて実際に動く攻撃チェーンを構築できる。Anthropic自身、Mythosで数千件のゼロデイを発見したと述べている。
Project Glasswing──launch 12社と追加40組織
launch partners は AWS / Anthropic / Apple / Broadcom / Cisco / CrowdStrike / Google / JPMorganChase / Linux Foundation / Microsoft / NVIDIA / Palo Alto Networks の12組織。さらに40以上の重要インフラ運用組織にもアクセスが与えられている。Anthropicは利用クレジット1億ドルを投じる。
未承認アクセスが既に発生
Bloombergが2026年4月21日に報じた内容によれば、Glasswing参加組織以外の小規模グループがMythosへのアクセスを得ている。限定公開モデルが想定外のルートで広がる可能性は実際に発生している。
何ができて、何はまだできないのか──UK AISIの評価を読む
報道は派手な見出しを並べるが、英国AI Security Instituteの独立評価が現実を一番正確に映している。AISI評価レポート(2026年4月公開)から、Mythosが超えた水準とまだ越えられていない壁を整理する。
- 専門家相当タスク成功率 73%(2025年初頭は0%)
- 32段階TLOを初の全工程完遂(10回中3回・平均22ステップ)
- 人間専門家でも20時間を要する作業を自律実行
「堅牢に防御されたシステムを突破できる証拠はない」。評価環境は live defender や EDR が無く、結果は弱く防御されたシステムへの自律的攻撃の成功に留まると注釈されている。守る側が読むべきは裏返し──防御の弱い・古いシステムは確実に突破される──である。
同等モデルの拡散はいつ起きるか──"1〜2年"のリスク評価
「悪意ある第三者が同等の攻撃能力を持つのは何年後か」については断定を避けるべきだ。ただし、フロンティアAIの拡散史を見ると、備えるべき時間軸はそれほど長くない。リスク評価としてシナリオを置く。
能力の一般化サイクル(12〜18ヶ月)
2023年GPT-4級の推論能力は、2024年末〜2025年初頭にかけて代替モデル(オープンソース含む)に広がった。同程度の差で考えれば、Mythosに近いサイバー能力を持つモデルは2027年中盤までに複数登場しうる。
オープンウェイトモデルの追従
Llama や DeepSeek 系のオープンソースモデルは、商用フロンティアとの性能差を3〜6ヶ月で縮める例が出ている。限定公開と同水準のものが完全オープンで出る可能性は無視できない。
サイバー犯罪エコシステムでの兵器化
Ransomware-as-a-Service(RaaS)市場は数百億円規模で動いており、AIを組み込んだ攻撃ツールが商品化されるインセンティブがある。守る側は「AIで武装した攻撃を前提に設計を変える」段階に入っている。
真っ先に狙われるのは"レガシー資産"──自社で当てはめる5つの穴
AIが攻撃に使われたとき、最初に陥落するのは派手な新システムではなく、長く動き続けてきた業務の根幹である。読者が自社で当てはめられる粒度で代表的な5つを挙げる。
パッチ供給が止まった世代を業務基幹に残置。MFA・監査ログがほぼ無い。
古いSSL-VPN(CVE多数)/SMB1.0/RDPの直接公開。
フレームワーク世代が古く、自動スキャンに耐性が無い。
内製品で誰も全体を把握しておらず、棚卸しが難しい。
アクセス権が長年積み上がり、最小権限の原則が崩れている。
このうち穴 01〜03 は「外から自動スキャンで発見しやすい」ため、AIによる継続スキャンが攻撃側の標準装備になれば真っ先に狙われる。穴 04〜05 は「内部に侵入された後に被害を拡大させる」要因で、初動侵入を防げなかった場合の被害規模を決める。
AI時代の被害シナリオ──中堅企業に起こりうる3パターン
過剰な煽りを避け、現実の事故を一段抽象化したシナリオで提示する。数値感は中堅企業(従業員50〜300名)を想定した。
旧Access連携の商社で受発注停止
受発注の核に20年前に内製したAccessベースのDBが残り、社内VPN経由で全社員がアクセスしていた。攻撃チェーンが侵入後、Active Directoryの特権アカウントを奪取し、ファイル共有越しに業務DBを暗号化。受発注が5日停止し、機会損失約3,000万円・復旧と顧客対応で追加1,500万円。
古いVPN残置で顧客名簿7万件流出
営業所と本社をつなぐSSL-VPN製品が世代遅れで、CVEが2件未パッチ。AI支援の偵察で発見された後、認証情報を窃取され、社内SharePoint上の顧客名簿7万件が流出。GDPR・個人情報保護法対応・通知・賠償・監査対応で1.5〜2億円規模の費用発生。
工場OT/IT境界で生産ライン停止
生産制御(OT)と事務系(IT)ネットワークの境界に古いファイアウォールが残置。事務系経由でOT側に到達した攻撃により、製造実行システム(MES)が停止。出荷が1週間止まり、納期遅延の違約金と棚卸し損で約8,000万円。
3ケースに共通するのは、最新の標的型攻撃ツールではなく数年前の脆弱性が起点になっていることだ。AI時代の被害は新奇な手口ではなく、棚卸しできていない既知のレガシーから始まる。
いま打つべき手を3層構造で整理する
「セキュリティ対策」と一括りにすると優先順位がぶれる。AI時代に通用する備えは、棚卸し・刷新・継続防御の3層で組むのが筋がよい。
第1層:資産棚卸し(最低でも1週間でやれる)
- 全システムの一覧(社内向け/社外公開/クラウド/オンプレ)
- データ流通図(どのDBがどのシステムから読まれているか)
- 露出面の可視化(インターネット公開ポート・認証方式)
- 更新状況(OS・ミドル・アプリ・依存ライブラリのCVE状況)
実務で棚卸しを進めると、「自社で2年以上触っていないが業務に必須のシステム」が必ず1〜3個は出てくる。それが第1の刷新候補になる。
第2層:脱レガシーとモダン化(半年〜2年スパン)
- クラウド移行(AWS / Azure / Google Cloud のマネージドサービス活用)
- SaaS統合(業務DB → 本格SaaSや現代的な業務基盤への置き換え)
- API認証のゼロトラスト化(長期APIキー廃止 → OIDC / IAMロール連携)
- 旧VPN廃止(ZTNA / SSEへの移行)
第3層:AI時代の継続防御(運用に組み込む)
- 自動監視(ログ集約・異常検知のAI化)
- 脆弱性管理(SBOM・自動CVE通知)
- 従業員教育(AIフィッシング対策)
棚卸しだけで終わる企業は珍しくない。それでも、棚卸しから「触ってはいけないと判明した資産」を切り出して隔離するだけで、AI攻撃に対する露出面は半減する。投資回収の感触は早い。
棚卸しから始めたい方へ
30分の無料ヒアリング → 1〜2週間の現状診断レポート(無料)まで一気通貫でご支援します。
AI攻撃に耐える業務システムの設計原則
「AI時代を前提に設計する」という言葉はバズワード化しやすい。具体的には、AIで武装した攻撃者を想定して、業界で確立済みのセキュリティ強化策を「最初から」組み込む設計のことだ。新奇な打ち手ではなく、古典的な対策を確実に実装するのが本筋になる。
「AI攻撃に耐える設計」を1行で言うと
攻撃側のAIが侵入を試みる前提で、ゼロトラスト認証・監査ログ一元化・継続CVEスキャン・最小権限の原則・バックアップとリカバリーの5要素を最初から実装している状態。後付けは効きにくい。
※本記事の5要素は NIST Cybersecurity Framework、CIS Controls v8、NIST SP 800-207(Zero Trust Architecture)といった主要セキュリティフレームワークで共通して挙げられる中核対策を、中堅企業向けに整理したものです。
パッチ運用だけでは追いつかない理由:レガシー資産は仕様がブラックボックス化していることが多く、パッチ提供そのものが終わっている。AIの自律的攻撃は人間より圧倒的に速く、夜中に静かに進行する。「気付いたときには侵入後の横展開が終わっている」が現実の被害像になる。だから、パッチだけでなくシステム構造そのものを変える必要がある。
業務認証では長期APIキーを廃し、短命トークン+MFAを前提にするのが業界標準。盗難時の被害を時間単位で封じ込められる。当社の受託案件でも全システムでこの設計を標準採用している。
出典: NIST SP 800-207 / CIS Controls v8 #5,#6 / NIST CSF PR.AC
クラウドAPIログ・ネットワークログ・アプリログを統合し、いつ誰がどこから操作したかを長期間さかのぼって突合できる構造が、AI時代のインシデント対応の前提になる。原因特定が数日から数時間に短縮される。当社では全案件で必須要件として組み込む。
出典: CIS Controls v8 #8 / NIST CSF DE.AE, DE.CM
依存ライブラリの脆弱性を自動検知し、SBOM(Software Bill of Materials)を定期生成する仕組みは、現代の継続防御の標準パターン。新たに公開されたCVEと突合して、自社プロダクトの影響範囲を24時間以内に把握できる体制を組む。当社受託でもCI/CDに標準で組み込んでいる。
出典: CIS Controls v8 #7 / NIST CSF ID.RA / NTIA Minimum Elements for SBOM
退職者アカウントの即時無効化、特権アカウントの定期棚卸し、業務権限を必要最低限に絞る。AI攻撃は奪取したアカウントの権限範囲がそのまま被害規模になるため、権限境界の整理が直接的に効く。当社受託でも引き渡し時に必ずこの仕組みを揃える。
出典: CIS Controls v8 #6 / NIST CSF PR.AC-4
ランサム被害の最小化は、暗号化されない場所にバックアップを持つこと、そこから現実的な時間で復旧できることの2点に尽きる。3-2-1ルール(3コピー・2メディア・1オフサイト)と定期復旧訓練が業界標準。当社受託でも復旧時間目標(RTO)を必ずSLAに含める。
出典: CIS Controls v8 #11 / NIST CSF PR.IP-4, RC.RP / 3-2-1 Backup Rule
ロフタルのアプローチ──AI受託+自社SaaS運用の両輪
ロフタルは「セキュリティ専門会社」ではない。AI時代の業務システム設計を、自社SaaS運用と受託開発の両輪で支える会社である。
自社SaaS PigeonCloud(300社運用)
業務DBの代替として PigeonCloud を300社が本番運用。SaaSとして自社で運用しているからこそ、現場で起きる現実のセキュリティ課題を継続的に把握しており、受託先でも同水準のセキュリティ設計を標準で適用できる。
AI攻撃を想定したモダンシステム設計
レガシー資産の置き換え/業務システム刷新/クラウド移行を、AI攻撃を想定したセキュリティ要件で設計し直す。全プロジェクトで上記5要素(ゼロトラスト・監査ログ・継続スキャン・最小権限・バックアップ)を標準として組み込む。
公開事例:PigeonCloud(自社SaaS・300社導入)/SASENAI(AI防犯アプリ/不審行動の自動検知と通知)/dotomachi(マッチング系プロダクト)/Loftal(コーポレートサイト)。
ご相談の流れとよくある質問
着手の障壁を下げるため、最初は30分の無料ヒアリングから始めている。
よくある質問
Q1. うちは中小企業なので狙われにくいのでは?
AIによる偵察が一般化すれば、攻撃対象を選別するコストはほぼゼロになる。むしろ防御に投資できていない中堅企業のほうが、投下労力あたりの被害額(攻撃者ROI)が高いため優先的に狙われる傾向がある。
Q2. クラウド移行すれば安心ですか?
クラウドそのものが安全になるわけではない。クラウドの強い認証・監査機能を正しく設定して運用に組み込めば、オンプレより堅くなる。誤設定で公開ストレージを放置すれば、オンプレより危ない。設定こそが本丸である。
Q3. 既存ベンダーがいる場合でも相談できますか?
多くのケースで、既存ベンダーの開発スコープを尊重したまま、AI時代の認可境界・監査ログ・継続スキャンだけ別レイヤーで補完する設計が可能。利害衝突のない協業を前提に話せる。
Q4. 費用感はどのくらいですか?
現状診断レポート(1〜2週間)は無料。パイロット実装の規模感で200万〜800万円、本格刷新で年間2,000万〜1億円が目安。中堅企業の場合、投資判断は棚卸しレポートが出てからで構わない。
Q5. AI受託会社にセキュリティ視点の刷新を頼んでよいのですか?
AI受託の本質は「AIに耐える業務システムをゼロから設計し直すこと」と重なる。専門のセキュリティベンダーが必要な領域(PCI-DSSやISO27001認証取得など)はそのままに、AI時代の設計原則だけ別枠で支援する形が現実的。
まとめ──AIは攻撃にも防御にも与えられる
Mythosの登場は、AIが攻撃側に強力な能力を与えたことを示している。同時に、同じ能力は防御側にも回ってくる。継続スキャン・異常検知・自動応答──AIは守る側にとっても等しく強力な道具だ。
問題は、レガシーのまま放置された業務システムは、AIで守ることすら難しい点にある。古いシステムは監査ログが取れず、API認証が長期キーで、ライブラリ更新が止まっている。AIを使った防御は「観測できる対象」にしか効かない。
逆に言えば、いまAI時代を前提に設計し直した業務システムは、防御側のAIを最大限に活かせる側に立つ。Mythosショックはタイミングのきっかけにすぎない。AI時代に耐える業務システムへの刷新は、ここから2〜3年が勝負だ。
まずは30分のヒアリングから、現状の棚卸し感を一緒に言語化したい。
AI時代に耐える業務システムへ
ロフタルは AI受託+自社SaaS PigeonCloud運用(300社導入)の両輪で、レガシー脱却と AI時代の業務システム設計を一気通貫で支援します。30分の無料ヒアリングからお気軽にどうぞ。
参考文献・出典
本記事の事実関係は、以下の一次情報・公的評価レポート・主要報道に基づいています。
Anthropic Mythos 関連(一次情報・主要報道)
- Claude Mythos Preview — Anthropic公式(red.anthropic.com)
- Project Glasswing: Securing critical software for the AI era — Anthropic公式
- Our evaluation of Claude Mythos Preview's cyber capabilities — UK AI Security Institute (AISI)
- Anthropic debuts preview of powerful new AI model Mythos in new cybersecurity initiative — TechCrunch(2026/4/7)
- Anthropic's Mythos AI Model Is Being Accessed by Unauthorized Users — Bloomberg(2026/4/21)
- Testing reveals Claude Mythos's offensive capabilities and limits — Help Net Security
セキュリティフレームワーク(5要素の根拠)
- NIST Cybersecurity Framework — National Institute of Standards and Technology
- CIS Controls v8 — Center for Internet Security
- NIST SP 800-207: Zero Trust Architecture — NIST
- The Minimum Elements For a Software Bill of Materials (SBOM) — NTIA
データ管理、もっと簡単に。
Excel・Access・スプレッドシートの課題を、ノーコードのWebデータベース「PigeonCloud」が解決します。
月額5,500円〜(5ユーザー)、30日間無料でお試しいただけます。
関連記事
