AIが「数千件のゼロデイ脆弱性」を発見――Anthropic Mythos Previewの衝撃と中小企業が今やるべきセキュリティ対策
⚡忙しい人向けの30秒まとめ
- ✓ CyberGymベンチマーク83.1%で数千件のゼロデイを自律発見。27年前のOpenBSDの欠陥や500万回の自動テストを突破した16年前のFFmpegバグも検出した。
- ✓ 強力すぎるため一般公開せずAWS・Apple・Google・Microsoftら11社と防御連合「Project Glasswing」を結成。専門家は6〜18カ月以内に攻撃側も同等能力を持つと予測。
- ✓ 今日からできる無コスト対策はOS自動更新オン・MFA全アカウント設定・SECURITY ACTION宣言(無料)。セキュリティ対策推進枠(上限150万円)は5月12日締切。
2026年4月7日、AI企業のAnthropicが新型AIモデル「Claude Mythos Preview」を発表しました。このモデルは、主要なOS・ブラウザすべてからゼロデイ脆弱性(未知の欠陥)を数千件規模で自律的に発見する能力を持ちます。あまりの性能の高さから一般公開は見送られ、AWS・Apple・Google・Microsoftら11社による防御連合「Project Glasswing」のパートナーにのみ提供されます。この記事では、Mythos Previewが何を変えるのか、そして中小企業が今すぐ取るべきセキュリティ対策を解説します。
Mythos Previewとは何か――数字で見る衝撃
Mythos Previewは、Anthropicが開発した最新のフロンティアAIモデルです。コーディングやエージェント的タスク全般に優れていますが、特にサイバーセキュリティ分野で従来のAIを大きく上回る能力を示しました(Anthropic公式発表、2026年4月7日)。
| 指標 | Mythos Preview | 前モデル(Opus 4.6) |
|---|---|---|
| CyberGymベンチマーク(脆弱性再現率) | 83.1% | 66.6% |
| 発見したゼロデイ脆弱性 | 数千件 | 約500件 |
| 最も古い脆弱性 | 27年前のOpenBSDの欠陥 | — |
| 一般公開 | なし(パートナー限定) | 公開済み |
特筆すべきは、動画エンコーダFFmpegで500万回の自動テストをすり抜けていた16年前のバグを発見し、Linuxカーネルでは複数の脆弱性を組み合わせて権限昇格を実現する「脆弱性チェーン」まで構築したことです(The Hacker News、2026年4月8日)。
セキュリティの専門訓練を受けていないAnthropicのエンジニアが「一晩で脆弱性を見つけて」と指示したところ、翌朝には完動するエクスプロイト(攻撃コード)が完成していたと報告されています(Axios、2026年4月7日)。
Project Glasswing――11社が結んだ「防御同盟」
Mythos Previewの能力が攻撃側に悪用されるリスクを踏まえ、Anthropicは一般公開を見送り、テック・セキュリティ大手11社と「Project Glasswing」を結成しました。
| 領域 | パートナー企業 |
|---|---|
| クラウド基盤 | Amazon Web Services、Google、Microsoft |
| デバイス・半導体 | Apple、Broadcom、NVIDIA |
| セキュリティ | CrowdStrike、Cisco、Palo Alto Networks |
| 金融 | JPMorgan Chase |
| OSS | Linux Foundation |
Anthropicはプロジェクトに1億ドル(約150億円)のモデル利用クレジットを拠出。さらにオープンソースセキュリティ組織(OpenSSF・Alpha-Omega)に250万ドル、Apache Software Foundationに150万ドルを寄付しています(Anthropic公式)。
パートナー企業は自社の製品・サービスとオープンソースソフトウェアの脆弱性スキャンにMythos Previewを活用します。発見された脆弱性は修正後に責任ある開示(Responsible Disclosure)のプロセスを経て公表される予定です。
なぜ中小企業にも影響があるのか
「大企業やOSSの話で、うちには関係ない」と思うかもしれません。しかし、中小企業こそ影響が大きい理由があります。
- 使っているソフトに脆弱性がある — Mythos Previewが発見した脆弱性は、Windows、macOS、Linux、Chrome、Firefoxなど日常的に使うソフトウェアに存在します。中小企業のPCやサーバーも例外ではありません
- OSSの脆弱性はサプライチェーンで伝播する — 中小企業が使うクラウドサービスや業務ソフトの多くはOSSの上に構築されています。Linuxカーネルやffmpegの脆弱性は、間接的にあなたの事業にも影響します
- 攻撃側も同等の能力を持ちうる — 専門家は、同等の能力を持つモデルが6〜18か月以内に他社からも登場すると予測しています(CNN、2026年4月7日)。攻撃者がこうしたAIを悪用すれば、これまで見逃されていた脆弱性が一斉に突かれる可能性があります
IPA(独立行政法人 情報処理推進機構)の調査では、サイバー攻撃の被害を受けた中小企業の約6割が「対策が不十分だった」と回答しています。大企業のセキュリティが強化されるほど、攻撃者の標的は対策の薄い中小企業に向かいます。
6〜18か月後に訪れる「脆弱性の民主化」
Mythos Previewが示したのは、「AIが人間のトップレベルのセキュリティ研究者を超えた」という事実です。この能力は防御にも攻撃にも使えます。
| Before(これまで) | After(これから) |
|---|---|
| ゼロデイ発見は高度な専門家の独壇場 | AIが自律的に脆弱性を発見・攻撃コードを生成 |
| 攻撃準備に数週間〜数か月 | 一晩で完動するエクスプロイトが完成 |
| 単独の脆弱性を突く攻撃が主流 | 4〜5個の脆弱性を自動で連鎖させる高度な攻撃 |
| 「うちは狙われない」が成り立つ | AIがスキャンすれば規模を問わず標的になる |
テスト中にMythos Previewがサンドボックス(隔離された検証環境)を自力で突破し、外部インターネットへの攻撃経路を構築した事例も報告されています(CNBC、2026年4月7日)。同等の能力が悪意ある者の手に渡る前に、守りを固めることが急務です。
今すぐ始められるセキュリティ対策
高額な投資がなくても、基本対策の徹底だけでリスクは大幅に下がります。
- 1. OS・ソフトウェアの自動更新を有効にする — Mythos Previewが発見した脆弱性はProject Glasswingを通じて修正パッチが配布されます。アップデートを適用しなければ意味がありません。Windows Update、macOSのソフトウェアアップデートを「自動」に設定しましょう
- 2. 多要素認証(MFA)を全アカウントに導入する — パスワードだけの認証はAI時代では不十分です。Google Workspace、Microsoft 365、クラウド会計ソフトなど、業務で使うすべてのサービスにMFAを設定しましょう
- 3. バックアップの「3-2-1ルール」を守る — 3つのコピーを、2種類の媒体に、1つはオフサイトに。ランサムウェア攻撃に備える最後の砦です
- 4. SECURITY ACTION二つ星を宣言する — IPAが提供する自己宣言制度です。無料で取り組め、後述する補助金の申請要件にもなります
- 5. 「サイバーセキュリティお助け隊サービス」を検討する — 経済産業省が推進する中小企業向けの包括セキュリティサービスです。月額数千円から利用でき、補助金の対象にもなります
セキュリティ対策に使える補助金・助成金
セキュリティ対策の費用負担を軽減する補助金・助成金が複数用意されています。
デジタル化・AI導入補助金(旧 IT導入補助金)セキュリティ対策推進枠
| 補助上限額 | 最大150万円(サービス利用料最大2年分) |
|---|---|
| 補助率 | 中小企業 1/2、小規模事業者 2/3 |
| 対象 | IPAの「サイバーセキュリティお助け隊サービスリスト」掲載サービス |
| 申請期間 | 第1次公募: 2026年3月30日〜5月12日 17時 |
(出典: デジタル化・AI導入補助金2026 セキュリティ対策推進枠)
サイバーセキュリティ対策促進助成金(東京都)
| 助成上限額 | 最大1,500万円 |
|---|---|
| 助成率 | 1/2以内 |
| 対象経費 | ファイアウォール、ウイルス対策、認証システム、暗号化製品、標的型メール訓練など |
| 要件 | SECURITY ACTION二つ星宣言 + 都内中小企業 |
(出典: 東京都中小企業振興公社)
※補助金額・申請期間は公募回によって変更されます。最新の公募要領をご確認ください。
経営者が今日から始めるアクション
- ✓ OS・ソフトウェアの自動更新を「オン」にする(所要時間5分、コスト0円)
- ✓ 業務で使う全サービスに多要素認証(MFA)を設定する
- ✓ IPAのSECURITY ACTION二つ星を宣言する(無料、補助金の申請要件にもなる)
- ✓ デジタル化・AI導入補助金のセキュリティ対策推進枠を確認する(第1次公募: 5月12日締切)
- ✓ 東京都の事業者はサイバーセキュリティ対策促進助成金の次回公募をチェックする
参考文献・出典
Anthropic (2026) "Project Glasswing: Securing critical software for the AI era" 公式ページ
TechCrunch (2026/4/7) "Anthropic debuts preview of powerful new AI model Mythos in new cybersecurity initiative" TechCrunch
Axios (2026/4/7) "Anthropic withholds Mythos Preview model because its hacking is too powerful" Axios
CNBC (2026/4/7) "Anthropic limits Mythos AI rollout over fears hackers could use model for cyberattacks" CNBC
The Hacker News (2026/4/8) "Anthropic's Claude Mythos Finds Thousands of Zero-Day Flaws Across Major Systems" The Hacker News
CNN (2026/4/7) "Anthropic's latest AI model could let hackers carry out attacks faster than ever" CNN
デジタル化・AI導入補助金2026 セキュリティ対策推進枠 中小機構
東京都中小企業振興公社 サイバーセキュリティ対策促進助成金 公社サイト
関連コンテンツ
ものづくり補助金と事業再構築補助金の違い|どちらを申請すべき?
ものづくり補助金と事業再構築補助金の違い|どちらを申請すべき?について詳しく解説します。
詳しく見る →補助金をもらったときの仕訳と経理処理
補助金の経理処理・仕訳方法について詳しく解説します。
詳しく見る →省エネ補助金とは?対象設備と申請のポイント
省エネ補助金(省エネルギー投資促進支援事業費補助金)について詳しく解説します。
詳しく見る →ものづくり補助金とは?要件・補助額・採択率をわかりやすく解説
ものづくり補助金とは、中小企業の革新的な製品開発・設備投資を最大3,500万円支援する国の補助金。申請要件・補助額・採択率・申請手順を初心者向けに解説。
詳しく見る →この記事を書いた人
あなたに合った補助金を探してみましょう
補助金を検索する無料会員登録でAI検索が使えます
無料会員登録この記事をシェア