米Anthropicの大規模言語モデル「Claude Mythos」がゼロデイ脆弱性の発見やエクスプロイト生成の高い能力を示したことで、日本の金融業界で波紋が広がっている。AIが攻撃ツールから自律的な攻撃主体へ変質した転換点として、既存の防御体制の根本的な見直しが必要とされている。
米Anthropicが発表した大規模言語モデル(LLM)「Claude Mythos(クロード・ミトス)」を巡り、日本国内の金融業界で波紋が広がっている。Mythosは未発見の脆弱性(ゼロデイ脆弱性)発見やエクスプロイト(攻撃コード)生成の能力が高まっており、AI(人工知能)によるサイバー攻撃の急増を懸念する声が広がっているためだ。
auカブコム証券(現三菱UFJ eスマート証券)社長を約17年務め、現在は証券関連システムの開発を手掛けるトレードワークスの社長を務める齋藤正勝氏は「AIがツールから自律的な攻撃主体に変質した転換点だ」と語る。齋藤社長はClaude Mythosが脆弱性を突く攻撃プログラム(エクスプロイト)を高確率で作成できたことや、27年間見逃されてきた脆弱性を自律的に発見したことを挙げ「従来の脅威の延長線上にはない。証券システム開発の現場にいる者として、昨日まで有効だった防御の前提が根本から問い直される局面に来たと受け止めている」と危機感を示す。
齋藤社長は国内証券業界への影響を大きく3つに整理している。第1に取引・清算システムや勘定系システムなどに対する直接的なサイバーリスクの質的な変化だ。「Claude Mythosが発見したLinuxカーネルの脆弱性は大半の金融サーバーに潜在する」と指摘する。加えて、そうしたサイバーリスクの質的変化に伴い、既存のペネトレーションテストや脆弱性診断の基準も陳腐化しかねないとする。これが第2の影響だ。
そして第3の影響として、Claude Mythosの発表を受けて金融庁などの規制当局がセキュリティー関連の要件を強化し、証券各社の業務コストが増加する可能性を挙げる。「米国では連邦準備理事会(FRB)と財務省が主要銀行のCEO(最高経営責任者)を緊急招集したことが示すように、これは経営レベルの問題であり、CISO(最高セキュリティー責任者)だけに任せておける話ではない」と見る。
これらを踏まえ「国内の証券業界の対応策として3つのアクションが急務だ」とする。具体的には(1)従来型の脆弱性診断から、Claude Mythosレベルの攻撃AIを前提とした脆弱性診断に切り替えること(2)サイバーリスクに関して取締役会レベルで議題とすること(3)アンソロピックがIT・金融大手を集めて創設した「Project Glasswing」と同様の防衛コンソーシアムを、日本でも金融庁・金融情報システムセンター(FISC)・業界団体などが連携して創設すること、を挙げている。
