27年前のバグをAIが暴いた日 「Claude Mythos」が起こすサイバー防衛の地殻変動：もはや「禁止」は戦略にならない

AIはサイバー攻撃を劇的に加速させる一方で、防御側にとっても革命的な武器となる。Anthropicの「Claude Mythos」が27年前のバグを瞬時に発見したように、人間をしのぐ速度の脅威が現実となった今、従来の「禁止」や「点の対策」は通用しない。

[Jim O'Donnell，TechTarget]

　データ漏えいから世界的な混乱、情勢の不安定化に至るまで、サイバーセキュリティは現在、企業の議論の最前線にある。さらに、AIエージェントを始めとする各種AIの急速な台頭が、セキュリティ問題への注目を高めている。

　AIは深刻なセキュリティリスクであると同時に、企業のサイバーセキュリティに革命をもたらす可能性を秘めた技術でもある。Anthropicのフロンティアモデル「Claude Mythos」がその典型だ。その潜在的な危険性から、利用は一部のユーザーに限定されている。Mythosのようなモデルは、ハッカーが企業の脆弱性を発見・悪用する障壁を劇的に下げ、その速度を早める可能性がある。

　パロアルトネットワークス（Palo Alto Networks）の調査部門ユニット42（Unit 42）でサイバーセキュリティR＆D担当マネジングディレクターを務めるマイケル・スピサック氏は、次のように指摘する。「AIは企業のセキュリティリスクを生み出し、加速させた。しかし同時に、リスクに対抗する手段にもなり得る」

　ユニット42は、同社の顧客にセキュリティサービスを提供する部門だ。脅威評価などの予防的対策、インシデント対応などの事後的対策、さらにはマネージド・セキュリティ・オペレーション・センター（SOC）などの運用代行を担っている。

　4月21日から23日にかけて米国マサチューセッツ州ケンブリッジで開催されたイベント「EmTech AI」で、スピサック氏にAIセキュリティの現状と課題を聞いた。

AIの台頭によりサイバーセキュリティの何が変わったか

「AIとサイバーセキュリティ」に関する編集部お薦め記事

スピサック氏　サイバーセキュリティの動きは今、光速に近い。ここ数年は非常に興味深い時期だ。AIや量子技術といった今日の課題に取り組む際、私はかつてのクライアント／サーバやクラウド、モバイルの普及期を思い出す。当時の状況と今を照らし合わせ、「過去の過ちを繰り返し、問題を先送りにするのはやめよう」と考えている。

　クラウドはその好例だ。多くの組織が当初は「自分たちには関係ない」「クラウドは安全ではない」「仕組みが分からない」と主張した。境界防御（城と堀）の構造に固執していたのだ。しかし、ある日突然、彼らはクラウドの中にいた。従業員が組織内部で勝手にクラウドを使い始めていたからだ。

　AIもこれに似ている。AIはあまりに強力で、活用価値が高すぎるため、遠ざけることはできない。数年前、「AIは導入しない」と断言していた企業も、今では考えを変えている。利用を壁で遮断した企業では、従業員が私物デバイスを持ち込み、セキュリティ制御を回避してAIを利用した。もはや「禁止」は戦略にならない。

企業が最優先で警戒すべきAI固有の脅威とは

スピサック氏　第一に挙げるべきは「データ」だ。AIで、データは宇宙の中心といえる。多様な文脈のデータをAIに与えるほど、設定した目標に対する精度は上がる。一方で、企業の核心的資産といえるデータが、承認されていないAIに漏えいすることを懸念する声は多い。

それは攻撃者がいなくても起こり得るのか

スピサック氏　その通りだ。悪意のない、善意による行為が原因となる。最終的に、従業員は良かれと思って行動している。彼らは「速さこそ正義」だと理解しており、顧客のために市場投入までの時間を短縮しようとしている。

　その結果、業務を早く終わらせるために、組織が審査・承認していないツールを勝手に探し出し、利用する。そこで不注意にもデータを漏らしてしまうのだ。

ツールの安全性を確保する責任は、ベンダーと企業のどちらにあるのか

スピサック氏　サードパーティーのSaaS型AIプロバイダーが安全であることは大前提だ。企業のリーダーは、ベンダーのセキュリティ姿勢を理解し、協力して取り組む必要がある。

　同時に、自社のデータセキュリティの現状も把握しなければならない。どのデータが公開可能で、どれが制限付き、機密、あるいは極秘なのかを整理すべきだ。例えば、多くの組織にとってプログラムのコードは極秘事項だろう。データの分類を整理し、各分類とデータ型の対応表を作成する。その上で、どのベンダーのAIにどのデータの接触を許すかを明文化すべきだ。

戦争や世界情勢の不安定化による影響はどうか

スピサック氏　リスクレベルとしては非常に高い。懸念すべき事態だ。サプライチェーンの観点では、たった1つの攻撃が数百、数千の組織にドミノ倒しのような影響を与える。コードの多層構造に潜む脆弱性が狙われるからだ。

　これは以前から提唱していることだが、全ての組織はソフトウェア部品表（SBOM）を厳格に管理すべきだ。オープンソースをどこで使い、サードパーティーをどこで利用しているか。これを目録化して把握することで、インシデント発生時の封じ込めが可能になる。

AIは脅威のスピードを上げるだけなのか、それとも独自の特性があるのか

スピサック氏　その両方だ。状況の変化は加速しており、攻撃者は以前からAIを利用している。AIによる攻撃はログファイルに明確に現れるとは限らない。しかし、近年展開されている攻撃のスピードと規模を見れば、攻撃者が以前からAIを活用していたことは明白だ。

　さらに数週間前、状況は一変した。フロンティアモデルが登場したのだ。これらは、専門家レベルのタスクを自律的に実行できる能力を持つ。サイバーセキュリティに特化したフロンティアモデルを使えば、ソフトウェアやシステムの脆弱性を極めて迅速に特定できる。AnthropicのMythosや、OpenAIが信頼できるアドバイザーに提供しているモデルなどがそうだ。

　これらの能力は、脆弱性の特定と大規模な悪用を可能にし、ゲームのルールを完全に変えてしまった。このリスクに対抗するには、防御側もAIをこの戦いに投入するしかない。

CISO（最高情報セキュリティ責任者）はどう対応すべきか

スピサック氏　全てのCISOは、攻撃者のように考える必要がある。自社環境で見つかった問題の優先順位付けを再評価し、AIを防御に活用すべきだ。具体的には、膨大なアラートの選別（トリアージ）にAIを使う。また、AIを使って自社を攻撃してみるのも有効だ。攻撃者の視点で脆弱性を見つけ出し、現在の情勢でどれを最優先で修正すべきかを即座に判断するのだ。

Mythosなどのモデルは危険すぎて利用が制限されているが、本当にそこまで危険なのか

スピサック氏　われわれはMythosの早期アクセス権を持ち、多くの研究者が評価・検証を行ってきた。ベストプラクティスを探るためだ。「本当にそんなに危ないのか」と聞かれれば、私はこう答える。「Mythosは3週間で、1年分に相当するペネトレーションテスト（侵入テスト）を完了した」と。

　例えば、Mythosは「OpenBSD」にある27年前のバグを発見した。OpenBSDは堅牢（けんろう）で、十分に検証された安全なOSだと広く認識されていた。しかし、そこに潜んでいたバグをMythosは暴き、悪用してみせた。こうしたフロンティアモデルによって、明らかに地殻変動が起きている。

フロンティアモデルはなぜそこまで高い能力を発揮できるのか

スピサック氏　モデルの内部動作には、われわれから見えない「魔法」のような部分が多い。膨大なトレーニングとチューニング、そしてニューラルネットワークの活動が水面下で行われている。

　特にMythosの場合、Anthropicは長年コーディングモデルの開発に注力してきた。優れたコードを書けるようになった結果、副産物としてそのコード内の脆弱性を検知する能力も備わったのだ。モデルはマシンのスピードで動く。人間よりも速く脆弱性を見つけ出す。われわれは今、その転換点を目の当たりにしている。

今日の脅威に対処するCIOやCISOへのアドバイスは

スピサック氏　1つ目は「自己評価」だ。内側に目を向け、攻撃者の視点を持つべきだ。AIを使って自らを評価し、オープンソースやサードパーティー製アプリケーション、社内アプリケーションの棚卸しを徹底してほしい。それらが外部や内部からどう見えるかを評価するのだ。

　二つ目は「リスク姿勢」の改善だ。発見した脆弱性のリスクをどう測定するか再考すべきだ。その上で、体系的な方法で対策や修正を行う。

　最後は、セキュリティ運用の「プラットフォーム化」だ。多くの組織には、データ用、アイデンティティー用、ネットワーク用と異なるツールが混在している。いわゆる「ベストオブブリード」のポイントソリューションだ。問題は、ツール間に「隙間」が生まれることだ。

　われわれのアドバイスは一貫している。セキュリティ運用を1つのプラットフォームに統合すべきだ。その「隙間」に隠れている脅威が、最終的に致命傷となるからだ。