【弁護士が基礎から解説】AI「ミュトス」は日本企業にとって何が脅威なのか？私たちにできること

　米国でAI開発を手がけるAnthropic（アンソロピック）が2026年４月７日に公表したClaude Mythos（クロード・ミュトス）が契機となって、高性能なAI（以下「フロンティアAI」）によるサイバーセキュリティ上の脅威が注目を集めている。

（SOPA Images /gettyimages）

　5月18日には内閣官房国家サイバー統括室（NCO）が中心となって「AI 性能の高度化を踏まえたサイバーセキュリティ対策の強化について ～Project YATA-Shield～」という注意喚起が公表された。

　また、サイバー攻撃を受けた場合に社会への影響が大きい金融機関に対して、金融庁が同月22日、「『フロンティアAI による脅威変化を踏まえた金融機関等の短期的な対応』に係る要請について」（以下「本金融庁要請」）を公表した。

　これだけ矢継ぎ早に注意喚起が公表されている点で、事の深刻さが伺われる。

フロンティアAIの脅威について

では、フロンティアAIは何が脅威なのか。

　本金融庁要請によると「従来は発見が困難であった脆弱性が短期間に大量に発見され得ることに加え、脆弱性の発見から攻撃に至るまでの期間が大幅に短縮され得ること」が指摘されている。

　つまり、フロンティアAIがITシステムに潜む「脆弱性」を発見できることがセキュリティ上の脅威の一つとなっている。

　この「脆弱性」という言葉はあまり耳慣れないため、脅威の深刻さがイマイチ分かりづらいと思われる。

どんなシステムにも起こり得る脆弱性

　脆弱性とは、プログラムの不具合や設計ミスが原因で生じる情報セキュリティ上の「欠陥」であり「弱点」である。

　ソフトウェアやITシステムは、その設計図となるソースコードから構成される。ソフトウェアエンジニアやプログラマーが膨大なソースコードを書く過程において、人が作成するものである以上は、ミスが発生する。

　プログラムが期待通りに動くか動かないかのレベルの設計ミスであれば、テストによって検出できることが多い。

　もっとも、脆弱性は、プログラムが動くことは動くため、通常のテストは通過する。動くことを前提としつつ、想定外の動かし方をされるとセキュリティ上の脅威として顕在化する設計ミスなのである。

　そして、ソフトウェアがリリースされた後に、設計ミスが発見されてそれを修正するのがアップデートである。

　皆さんのiPhoneにも、毎月のようにアップデート通知が届いている。詳細を確認せずに同意ボタンを押してアップデートしている人がほとんどであろう。

写真を拡大

　この通知をよく見ると、「iOS11.2.2にはセキュリティアップデートが含まれ」と記載されている。ということは、一つ前のバージョンである「iOS11.2.1」には脆弱性が含まれていることがリリース後に発覚して、Appleが慌てて対応したのがこのアップデートである。

　世界トップクラスの時価総額を誇るAppleのiPhoneですら毎月のように脆弱性が内在するソフトウェアをリリースしていることを考えると、この世にリリースされているソフトウェアやITシステムには脆弱性が当然のように内在しているのが容易に想像できるであろう。

なぜ、見落とされるか

　もちろん脆弱性についてのテストも存在する。

　もっとも、脆弱性については、技術的にテストで検出が難しいものもあるのに加えて、そもそもテストが十分に実施されていないという背景もある。なぜか。

　まずは法規制の有無である。例えば自動車は安全性のテストが法律上義務付けられており、徹底したテストを経て世に出される。他方で、ソフトウェアについてはテストについて明確な法規制は今のところない。