「危険すぎて一般公開できない」Claude Mythos、日本の国家サイバーセキュリティ会議で明言

AnthropicのAI「Claude Mythos （クロードミトス、クロードミュトス）」が自民党の国家サイバーセキュリティ会議で言及。全主要OSとブラウザでゼロデイ脆弱性を自律的に発見・悪用できる能力が確認され、一般公開は見送り。危険性・Project Glasswing・日本の対応策を解説します。

関連：公開禁止のClaude Mythos、公表当日にサードパーティ経由で権限外ユーザーに不正アクセスされ漏洩

日本の国家サイバーセキュリティ会議でClaude Mythosが取り上げられた背景

2026年4月20日、自由民主党の国家サイバーセキュリティ戦略本部などの関係部会による合同会議が開催されました。会議にはAnthropicおよびOpenAIの担当者が出席し、AIが高度化するサイバー攻撃に悪用された場合の国家的リスクが議論されました。

会議で中心的な論題となったのが、AnthropicのAIモデル「Claude Mythos Preview」です。自民党 平将明前デジタル大臣は「アンソロピック社から発表されたミトスというAIが、人間の力では見つけることのできなかったシステムの脆弱性を見つけることができる、さらにはそれを悪用しようと思えば攻撃にも使える」と述べ、金融分野を含む重要インフラへの甚大な被害が生じる懸念を示しました

自民党は今回の議論を踏まえ、日本国内でも官民一体となった防御体制を整備するための緊急提言をとりまとめる方針を表明しています。

Claude Mythos(クロード ミトス)とは何か

Claude Mythos Previewは、米Anthropicが2026年4月7日に発表した汎用AIモデルです。同社のClaude 4系列と同様の言語モデルですが、コード・推論・自律性の向上に伴い、サイバーセキュリティ分野で既存モデルを大幅に上回る能力が意図せず発現しました。

Anthropicは「ゼロデイ（未公知の）脆弱性を自律的に特定・悪用できる」という判断から一般公開を見送りました。代わりに、この能力を防衛目的に限定して活用するための業界横断枠組み「Project Glasswing」を立ち上げ、Amazon Web Services（AWS）・Apple・Cisco・CrowdStrike・Google・JPMorgan Chase・Microsoft・NVIDIA・Linux Foundationなどのパートナー企業・重要インフラ事業者に限定提供しています。

米国家安全保障局（NSA）もMythosを活用していると報じられており、米英両政府がすでに防衛目的での利用を開始しています。

Claude Mythosが「危険すぎる」と判断された根拠

全主要OS・ブラウザでゼロデイを自律的に発見

Anthropicの評価では、Mythos Previewはすべての主要オペレーティングシステムとすべての主要ウェブブラウザにおけるゼロデイ脆弱性の特定と悪用が可能であることが確認されています。発見される脆弱性は微細で検知が困難なものが多く、最長で27年前から潜在していたものも含まれています（Anthropic Red Team Blog、2026年4月7日より）。

具体的な発見事例として以下が確認されています。

27年間潜在したOpenBSDのバグ

TCP/IPの選択的確認応答（SACK）の実装に存在した脆弱性で、リモートの攻撃者がTCP経由でOpenBSDホストをクラッシュさせることを可能にするものです。符号付き整数のオーバーフローを利用した2段階の条件が重なった場合にNullポインタへの書き込みが発生するという、人間のコードレビューやファジングテストをくぐり抜けてきた極めて微細なバグです。現在は修正済みです。

16年間潜在したFFmpegのH.264脆弱性

世界中の動画サービスが依存するFFmpegのH.264コーデックにおける脆弱性で、16ビット整数と32ビット整数の範囲ミスマッチにより、65536スライスを含む細工されたフレームを処理した際に境界外書き込みが発生します。2010年のリファクタリングから潜伏し、世界中のファジングツールとセキュリティ研究者の目をくぐり抜けてきたものです。

本番環境VMM（仮想マシンモニター）のゲスト→ホスト脆弱性

クラウドインフラの基盤となるVMM（ハイパーバイザー）においてゲスト環境からホスト側にアクセスできる脆弱性を発見しました。詳細は責任ある開示プロセスの進行中のため非公表ですが、クラウド環境全体に影響しうる性質のものです。

セキュリティの専門知識がなくても悪用可能

Anthropicの評価では、正式なセキュリティ訓練を受けていないAnthropicのエンジニアがMythosに「リモートコード実行脆弱性を探して」と依頼したところ、翌朝起きたときには完全に機能するエクスプロイトが完成していたという事例が報告されています。

これは従来の脆弱性悪用が「高度な技術スキルを持つ攻撃者」に限定されていたのとは本質的に異なります。Mythosは攻撃の敷居を劇的に下げます。

既存モデルとの能力差

Anthropicの内部ベンチマークによれば、Mythos以前の最上位モデルであるClaude Opus 4.6はFirefox 147のJavaScriptエンジン脆弱性からエクスプロイトを生成した試行成功率がほぼ0%（数百回の試行で2回のみ）でした。同じ条件でMythosは181回のエクスプロイト生成に成功し、さらに29回は制御フロー奪取（register control）を達成しました。

また約7,000のエントリーポイントを持つオープンソースリポジトリ群に対するクラッシュ評価（5段階）では、Claude Sonnet/Opus 4.6が最高レベル（tier 5：完全な制御フロー奪取）に到達したのがそれぞれ1件のみだったのに対し、Mythosは完全にパッチが当たった10の独立したターゲットでtier 5を達成しています。

英国AI Security Instituteによる独立評価

英国政府のAI安全評価機関AISI（AI Security Institute）は2026年4月13日、Mythosの独立評価結果を公表しました。同機関が構築した32段階の企業ネットワーク攻撃シミュレーション（人間の専門家が約20時間かかると想定される多段階攻撃）において、Mythosは10回の試行中3回で全工程を完遂した初のモデルとなりました。全試行の平均でも32段階中22段階を突破しており、Claude Opus 4.6の16段階を大幅に上回っています。

AISIは「ネットワークへのアクセス権が取得された小規模で防御が脆弱なエンタープライズシステムに自律的に攻撃する能力がある」と認定しています

なぜ一般公開せず「限定提供」なのか——攻防の非対称性

Anthropicがゼロデイ発見・エクスプロイト生成能力を「一般公開できない」と判断した背景には、短期的には攻撃側が防御側より大きな利益を得るリスクがあります。

防御側がMythosのような能力を活用するには、脆弱性を発見・トリアージ・修正・展開するための組織的な体制が必要であり、時間とコストがかかります。一方で攻撃者は「ボタン一つで、ターゲットを絞ったフィッシング攻撃や精巧なエクスプロイトチェーンを生成できる」状態になります

Anthropicは「長期的には防御側がより効率よくAIを活用し、コードが出荷される前にバグを修正できるようになる」と見ているものの、「移行期間は混乱をきたす可能性がある」と認めており、Project Glasswingを通じた「防御側への先行優位性の付与」を優先させました。

日本の現状と自民党緊急提言の骨子

2026年4月1日には改正地方自治法のサイバー条項が施行され、同月より「能動的サイバー防御」に係る新法が順次施行されています。しかし今回の自民党会議では、Mythosのような高度AIが攻撃者に渡った場合に人間の監視や対応速度を上回る自動化された攻撃が行われ、金融インフラ等に甚大な害が生じるという懸念が共有されました。

自民党の緊急提言の骨子は以下の2点です。

米国Project Glasswingをモデルとした日本版企業連合の創設

金融機関・通信・エネルギーなど重要インフラ企業がAIを活用した防御技術と脅威インテリジェンスを共有する官民一体の枠組みを構築します。

既存枠組みを超えた国家レベルのインシデント対応能力の底上げ

「AI対AI」の防衛パラダイムシフトに対応するため、能動的サイバー防御の枠組みにAI活用を組み込むことが求められています。

ポイント：情報システム部門・セキュリティ担当者向け

今回のMythosに関する議論から、実務上で重要なポイントは以下です。

脆弱性の「発見困難性」への過信は禁物

Mythosが発見したバグの多くは、世界中のファジングツールと経験豊富な人間のコードレビューをくぐり抜けてきたものです。これまで「徹底的にテストしているから安全」という前提が成立していた環境でも、AIを用いた脆弱性探索に対しては同等の保証が得られない可能性があります。

「攻撃の敷居が下がった」という現実への備え

高度なエクスプロイト生成に専門家レベルの技術が不要になりつつある状況は、従来の「高度な攻撃者のみが行う」という前提に基づく脅威モデルの見直しを迫ります。技術力の低い攻撃者でも精巧なエクスプロイトを利用できる時代が現実化しつつあります。

防御側もAI活用を急ぐ必要がある

Project Glasswingの思想が示すように、AIによる脆弱性発見は「攻撃者のみが使う武器」ではなく「防御側が先に使うべきツール」です。脆弱性管理プロセスにAI支援を組み込む体制の検討が急がれます。

パッチ適用の緊急性が増している

Mythosはゼロデイに加え、既知だが未パッチのN-dayからも機能するエクスプロイトを自律的に生成できます。「知られている脆弱性なので影響度は低い」という判断は成立しなくなりつつあります。

よくある質問（FAQ）

Q. Claude Mythosは日本でも利用できますか？
現時点では一般公開されておらず、Project Glasswingの参加企業・重要インフラ事業者に限定提供されています。Claude API・Amazon Bedrock・Google Cloud Vertex AI・Microsoft Foundryを通じて限定的に提供されています。日本国内での正式な利用枠組みは今後の官民協議によって検討される見通しです。

Q. AnthropicがMythosを一般公開しない理由は何ですか？
一般公開した場合、悪用リスクが現実的に高いと判断したためです。Anthropicは「短期的には攻撃側が大きな利益を得る可能性がある」と明記しており、防御側が先に利用環境を整えるまでの間、限定提供によって防御側に先行優位性を与える判断をしています。

Q. Mythosが日本の金融インフラに与えるリスクは具体的にどんなものですか？
自民党の会議での指摘によれば、人間の監視速度を上回る自動化された攻撃が行われ、決済ネットワークやコアバンキングシステムを含む金融インフラに甚大な被害が生じる懸念があります。AIを用いれば複数の脆弱性を連鎖させた攻撃を自動生成・実行できるため、従来の対応スピードでは防ぎきれない状況が生まれる可能性があります。

Q. セキュリティ専門家の意見は割れていますか？
技術的能力の向上そのものは専門家間でも認められていますが、「危険すぎて公開できない」という発表には戦略的マーケティングの側面も指摘されています（ESET Jake Moore氏、Business Insider Japan）。英国AISIの独立評価では能力の実在は確認されつつも「実世界の堅固に防御されたシステムへの攻撃能力についてはまだ確認できない」という留保が付けられており、過大評価と過小評価の両面に注意が必要です。

参考情報

• 【一次ソース】Assessing Claude Mythos Preview’s cybersecurity capabilities（Anthropic Red Team Blog、2026年4月7日）
• 【一次ソース】Project Glasswing（Anthropic公式）
• 【日本の動向】新型AI「クロード・ミトス」の衝撃 自民党が政府に対策要請（テレビ朝日・ANN、2026年4月20日）
• 【国際報道】Anthropic’s Claude Mythos Preview Changes Cyber Calculus（Foreign Policy、2026年4月20日）