Claude Mythosとは？読み方と政府・銀行が対応を急ぐAIサイバーリスク

Claude Mythosとは何か

Claude Mythosは、Anthropicが2026年4月にProject Glasswingとともに発表した未公開のフロンティアAIモデルだ。Anthropicの説明では、一般用途のモデルでありながら、コーディング、推論、エージェント的な作業に強く、その結果としてサイバーセキュリティ領域で極めて高い能力を示している。

重要なのは、Mythosが「セキュリティ専用ツール」としてだけ作られたわけではない点だ。コードを深く読み、複雑な依存関係を理解し、修正まで考えられるモデルは、同時にバグや脆弱性も見つけやすい。防御にも攻撃にも使える。この二面性が、今回の騒ぎの中心にある。

Anthropicは、Mythos Previewを一般公開せず、限定された参加組織に防御目的で提供している。理由は明快で、同等の能力が無制限に使われれば、未知の脆弱性を探すコストが下がり、攻撃者側の探索速度も上がるからだ。

Claude Codeとの違い

Claude Codeは、開発者がターミナルや開発環境で使うコーディングエージェントだ。コードベースを読み、ファイルを編集し、テストを実行し、開発タスクを進める。製品としては「人間が開発作業を任せるための道具」に近い。

Claude Mythosは、その下で使われ得るモデルの階層に近い存在だ。つまり、Claude Codeが作業環境なら、Mythosは高性能な頭脳にあたる。今回、銀行や政府が警戒しているのはClaude Codeという製品そのものではなく、Mythos級のモデルが持つ脆弱性発見・分析能力である。

そのため「Claude Code Mython」という検索語は、Claude Code、Claude Mythos、Mythonという誤記が混ざったものと見た方がいい。調べるべき正式名称はClaude Mythos、読み方はクロード・ミュトスだ。

なぜ銀行が対応に追われているのか

銀行は、AIサイバーリスクの影響を最も受けやすい産業の一つだ。オンラインバンキング、ATM、カード決済、送金ネットワーク、勘定系、証券取引、本人確認、クラウド基盤、外部委託先のシステムが相互につながっている。一つの弱点が単独で終わらず、連鎖しやすい。

米国では、財務省とFRBの関係者が大手銀行首脳を集め、Mythosがもたらすサイバーリスクを協議したと報じられている。英国でも、Anthropicが英国金融機関にMythosへのアクセスを広げる動きと並行して、金融当局や銀行がリスク評価を進めている。

銀行にとって怖いのは、Mythosそのものが今すぐ銀行を攻撃するという話ではない。怖いのは、AIによって脆弱性探索が速く、安く、大量に行われるようになることだ。これまで人間の専門家が時間をかけて探していた弱点を、AIが夜通し走って洗い出す世界では、パッチ適用、監視、インシデント対応の速度基準が変わる。

日本政府は何を求められているのか

日本で確認できる動きは、政府そのものの単独発表というより、与党側から政府に対策強化を求める段階だ。自民党は、Claude Mythosを念頭に、金融システムを皮切りにエネルギー、通信など重要インフラへ対策を広げる省庁横断のプロジェクト設置を政府に要請したと報じられている。

ここで焦点になるのが、日本版Project Glasswingのような官民連携だ。米国のProject Glasswingは、AIモデル企業、クラウド、OS、セキュリティ企業、金融機関、オープンソース団体が連携し、重要ソフトウェアを先に守る構想である。日本でも、金融庁、国家サイバー統括室、AIセーフティ・インスティテュート、主要銀行、通信・電力・クラウド事業者が同じテーブルにつく必要が出てくる。

日本政府が急ぐべきなのは、抽象的なAI規制だけではない。どの重要システムを優先的に検査するのか、AIによる脆弱性発見を誰が実施し、発見した欠陥をどう開示し、どう修正するのか。官民の責任分界と情報共有ルールを早く決めることだ。

Project Glasswingが示す新しい防御モデル

Project Glasswingの発想は、攻撃能力を恐れて隠すだけではなく、防御側に先に配ることにある。AnthropicはMythosを一般公開せず、AWS、Apple、Google、Microsoft、Cisco、CrowdStrike、Linux Foundation、JPMorganChaseなどの参加組織に限定して、防御目的で使わせている。

この構図は、従来のサイバー対策とは少し違う。これまでの防御は、脆弱性が報告され、パッチが作られ、利用者が更新する流れだった。Mythos級モデルの時代には、AIで先に探し、AIで優先度をつけ、AIで修正案まで作る流れが現実になる。

ただし、AIに任せれば安全になるわけではない。発見された脆弱性の扱い、誤検知、修正の副作用、モデルへのアクセス管理、プロンプトインジェクション、出力の悪用防止など、運用上の問題は残る。むしろ高度なAIを使うほど、誰が監督するのかが重要になる。

企業と金融機関が今すぐ確認すべきこと

Mythosのニュースを見て、すぐにすべての企業が同じモデルを導入する必要はない。まず必要なのは、自社の攻撃面を把握することだ。外部公開システム、古いVPN、未更新のCMS、委託先が管理する認証基盤、クラウド権限、API、社内で使われ続けている古いライブラリを棚卸しする。

次に、脆弱性管理の速度を上げる。AI時代には、脆弱性の発見から悪用までの時間が短くなる。月次の確認だけでは遅い領域が増える。重要システムは継続的なスキャン、優先度付け、パッチ検証、代替策の実行までを一つの運用として回す必要がある。

最後に、AIを防御側にも使う準備をする。ログ分析、異常検知、コードレビュー、設定ミス検出、インシデント初動の支援は、すでに現実的な用途だ。ただし、AIの判断をそのまま本番に流すのではなく、人間の承認、監査ログ、権限分離、訓練済みの復旧手順とセットで導入するべきだ。

パニックではなく、対応速度の問題

Claude Mythosは、金融システムを今すぐ崩壊させる魔法の道具ではない。現時点で重要なのは、AIによって攻撃と防御の速度差が変わるということだ。攻撃者が速くなるなら、防御側も同じかそれ以上の速度で見つけ、直し、復旧できなければならない。

日本の読者にとって見るべきポイントは三つある。第一に、日本版Project Glasswingのような官民連携が実際に動くか。第二に、銀行や重要インフラがAI前提の脆弱性管理に移れるか。第三に、Mythos級モデルのアクセス管理と国際ルール作りが進むか。

読み方はクロード・ミュトス。だが本当の論点は名前ではない。AIがソフトウェアの弱点を見つける速度に、政府、銀行、企業の防御体制が追いつけるかどうかだ。

関連して読みたい記事

• AIサイバー脅威は戦争より先に家計を刺す：口座、病院、電力
• 能動的サイバー防御で日本は何に備えるのか
• 日本企業のBCPはどこから始めるべきか：まず見直す五つの依存

主な出典

• Anthropic: Project Glasswing
• Anthropic Red Team: Assessing Claude Mythos Preview's cybersecurity capabilities
• Anthropic: Claude Code
• Business Insider Japan: Claude Mythosの読み方
• ABEMA TIMES: 最新AI「Claude Mythos」念頭に対策強化要請
• ITmedia AI+: Mythos級AI到来に備えた日本版Project Glasswing検討
• The Guardian: US summons bank bosses over cyber risks from Anthropic's latest AI model
• The Guardian: Finance leaders warn over Mythos as UK banks prepare to use powerful Anthropic AI tool