AIによるサイバー攻撃が激化する中、Anthropic社が発表した「Claude Mythos」は脅威を一段と押し上げる存在として注目を集めています。
自律的に脆弱性を発見し攻撃経路を組み立てるその能力は、攻撃者のスピードを飛躍的に高めます。
「検知」を中心とした防御が限界を迎える中、これからのセキュリティに求められる「攻撃を未然に封じる『先制型サイバー防御』(Preemptive Cyber Defense)」についてご紹介します。
※本記事はMorphisec(モルフィセック)社のブログ記事「Al-Driven Cyber Threats: Why the Claude Mythos Era Demands Preemptive Cybersecurity Transformation」(2026年4月23日 公開)を翻訳し、一部編集したものです
目次
Anthropic社による「Claude Mythos Preview」の発表は、サイバーセキュリティ分野においてインターネット黎明期以降最大の影響を及ぼしています。
デジタルにおける「圧倒的な脅威」の到来
Anthropic社は、セキュリティチームや従来のツールよりもはるかに高速かつ効率的にソフトウェアの脆弱性を発見・悪用が可能なAIを発表しました。Mythosは、自律的に脆弱性を発見・組み合わせ、攻撃経路を構築することができます。中には、27年もの間見過ごされてきた古い脆弱性も含まれています。さらに、同社が主導する「Project Glasswing」を通じて選ばれた40の組織に技術提供されています。しかし同時に、サイバーセキュリティや国家安全保障、技術格差といった面でも新たな波紋を広げています。これはもはや、単なる技術革新の話にとどまりません。セキュリティ業界全体への警鐘と受け止めるべきでしょう。脆弱性管理やパッチ運用、そして「検知」を主軸とした従来の対策はすでに限界を迎えていましたが、Mythosの登場はそうした従来のアプローチを根本から問い直す契機となります。
Mythosが暴いた「従来型防御モデル」の欠陥
サイバーセキュリティの分野ではこれまで、暗黙の了解として「攻撃側と防御側はいたちごっこではあるものの、防御側には脆弱性が広く悪用される前にパッチ(修正プログラム)を適用する時間がある」と考えられてきました。しかし、Mythosの登場により、この前提は崩れたと言えます。
私たちは以下の現実に直面しています。
1.「侵入を前提とした防御」から「悪用を前提とした防御」へ
AIによって攻撃のスピードが大きく加速する中、脆弱性を持つ端末は「侵入されるリスクがある」のではなく、「すでに悪用されている」という可能性を前提に考える必要があります。従来のように人手で優先順位をつけ、順次パッチを適用していくという進め方は通用しません。
2.従来の脆弱性管理アプローチの限界
脆弱性スキャンの結果をもとにリスト化し、優先度をつけて対応していくという従来の運用サイクルは限界を迎えています。優先順位をつけるべきアタックサーフェス(攻撃対象領域)が増えれば増えるほど対応は後手に回ります。Mythosのスピード感に対抗するには、防御側も同様の速度での対応が必要です。
3.レガシーシステムに残された時間はない
今でも世界中の重要インフラはレガシーなシステムに支えられており、リアルタイムにパッチの適用ができない環境が多く存在します。Mythosの登場によりそのリスクがより顕著になっています。
先制型サイバー防御の時代が到来
Mythosの登場により、セキュリティ戦略をアップデートできない組織は致命的なリスクに直面するでしょう。
これまで主流だったリアクティブ(事後対応型)のセキュリティ対策が通用しなくなる中、今後どのようなアプローチが求められるのでしょうか。
守るだけのセキュリティからの脱却
パッチを適用し、攻撃を検知して対処するという「いたちごっこ」の時代は終わりました。
MythosのようなAI主導の脅威に対抗するには、攻撃を追いかけるのではなく、「攻撃の機会そのものを排除する」という能動的なアプローチが必要です。
従来の脆弱性管理からエクスポージャー管理への移行
「どこに脆弱性があるか」を把握するだけでなく、「悪用される可能性をどう低減するか」という継続的なエクスポージャー管理の仕組みの構築が必要です。
自動的にリスクを無力化する
AIによる攻撃のスピードに対しては、人手だけでの対応には限界があります。例えばランタイムメモリをランダム化するなど、攻撃ルートを動的に隠蔽し変化させる自動化ソリューションこそが、AI時代における効果的な防御策と言えます。
上記が「先制型サイバー防御(Preemptive Cyber Defense)」の基盤です。攻撃をより早く検知するのではなく、「攻撃の実行自体を最初から不可能にすること」を目指したアプローチです。
グローバルにおけるAIの責任と規制について
Mythosの影響に対しては、組織単独におけるセキュリティ対策にとどまらず、より広い視点での議論が求められています。特に、以下の観点についてグローバルレベルで検討する必要があります。
- 高度なAI技術の利用を誰がどのようにコントロールしていくのか
- 「Project Glasswing」のようなクローズドなプログラムが市場の競争や地政学的なバランスを崩すのをどう防ぐか
- 国家レベルのサイバー兵器に匹敵する攻撃力を持つ「デュアルユース(軍民両用)AI技術」をどう規制していくべきか
Anthropic社がMythosの提供範囲を制限したことはリスクへの配慮と言えますが、これはあくまで一時的な対応にとどまります。今後、悪意ある開発者によって同様の技術が開発・展開される可能性も十分に考えられます。
そのため、AIの安全性や、予防を重視したセキュリティのあり方、さらには脅威インテリジェンスへのアクセスの公平性といった観点について、国際的なルール整備が求められます。
こうした対応が進まなければ、攻撃側と防御側のバランスはさらに崩れていく一方です。
では、どのようにして具体的な対策に落とし込んでいくと良いのでしょうか。
AI主導の脅威は、スピードや規模、自律性において従来とは大きく異なります。こうした前提を踏まえ、組織は以下のようにセキュリティ対策をシフトする必要があります。
- 従来のような「事後対応中心」の運用から、「継続的な予防」を重視したアプローチへ
- 「アラートへの対応」を軸とした運用から、「攻撃経路の排除」へ
- 「脆弱性の管理」という考え方から、「脆弱性を悪用不可能にすること」へ
Morphisecの視点:Mythos時代を見据えた「先制型サイバー防御」
先に挙げたようなセキュリティ対策のシフトチェンジは、Morphisecの思想の基盤となっています。
私たちは従来の検知・対応中心のセキュリティ対策のように「いかに攻撃を検知するか」ではなく、「いかに攻撃を実行させないか」ということを重視しています。
具体的には、Automated Moving Target Defense(AMTD)やランタイムメモリのランダム化、AIを活用した技術により、以下のような価値を提供します。
- 数日~数週間もかからず、わずか数秒で脆弱性を悪用不可能にする
- シグネチャ(定義ファイル)やアラート、パッチ適用のタイミングに依存しない運用の実現
- EDR/XDR/SIEMといった既存のセキュリティ対策を補完し、より予防的な観点での強化
AI主導の脅威が前提となる時代には、従来の考え方の延長線では対応できず、新しいセキュリティモデルへの転換が不可欠です。Morphisecはその移行を支援します。
- 詳しい記事を読む
Automated Moving Target Defenseについて詳しく知る
サイバーセキュリティにおける「決定的な転換点」
Mythosの登場は、単なるAI技術の進展ではなく、サイバーセキュリティの常識を覆しています。かつての「攻撃者と防御者によるいたちごっこ」は今や、「勝負にすらならない状況」となっています。攻撃が自動化され、脆弱性の悪用スピードが向上することで、「検知して対応する」猶予期間は実質ゼロとなりました。
この出来事が、これからの10年のサイバーセキュリティを決定づけることになります。
従来のように、検知やパッチ適用、事後対応を中心とした運用に依存する組織は、AI主導の脅威スピードに圧倒され、取り残されてしまうでしょう。
一方で、先制型サイバー防御のアプローチを取り入れていく組織は、AI時代における「真のレジリエンス」を実現することができるでしょう。
このアプローチをどれだけ早く実行できるかが今、問われています。
インテリジェントウェイブによる支援【IWI加筆】
今回はMorphisec社による、Mythosに関するブログ記事をご紹介しました。
AI時代に求められるセキュリティ対策への転換には、実効性の高いソリューションと確かな導入支援が不可欠です。
インテリジェントウェイブはMorphisecの国内総代理店として、導入から運用・保守まで一貫してご支援します。具体的なご相談やご検討については、ぜひお気軽にお問い合わせください。
- 相談する
Morphisecについて