AnthropicのAIサイバーセキュリティツール「Mythos」に不正アクセス——企業向けAI展開のサプライチェーンリスクを再考する

Anthropicが企業向けサイバーセキュリティAIツール「Claude Mythos」を限定公開した直後、その公開当日に無許可のグループがアクセスに成功していたことがBloombergの報道で明らかになった。企業セキュリティを守るために設計されたツールが、リリース初日に管理外に出てしまったという皮肉な事態は、企業向けAI展開のリスク管理について重要な問いを突きつけている。

Mythosとは何か

MythosはAnthropicが開発した企業向けのAIセキュリティツールで、「Project Glasswing」と呼ばれる限定リリースプログラムの一環としてAppleを含む一部のベンダーにのみ提供されていた。その能力の高さから、悪意ある者の手に渡れば強力なハッキングツールになりうるとAnthropicも認めており、だからこそ段階的な限定公開という慎重な方針をとっていた。

ところが蓋を開けてみると、その「限定公開」の壁はサードパーティベンダーの管理体制の甘さによって初日に突破されていた。

不正アクセスの経緯

Bloombergの報道によれば、不正アクセスを行ったのはDiscordチャンネルを拠点とするグループで、未公開AIモデルの情報収集を趣味とするメンバーで構成されているという。グループはAnthropicが他のモデルで使用してきたURLフォーマットの知識をもとに「educated guess（知識に基づいた推測）」でモデルの所在を特定したとされる。

加えて、Bloombergの取材に応じた人物がAnthropicの下請け業者（サードパーティコントラクター）に在籍していたことも報告されており、そのアクセス権を利用してグループが接触できた可能性も示唆されている。

Anthropicは「サードパーティベンダー環境を経由した不正アクセスの報告を調査中」とTechCrunchに回答しつつ、「Anthropicのシステムへの影響は現時点で確認されていない」と述べている。グループ自体は「新しいモデルで遊びたいだけで、破壊目的ではない」と説明しているが、それが事実であっても、不正アクセスが成立した事実は変わらない。

なぜこれが重要か

この事件が示す本質的な問題は2つある。

第一に、サードパーティリスクは企業向けAIでも古典的な弱点であり続けるということだ。 どれだけ本体側のセキュリティを固めても、アクセスを許可したベンダーや委託先が適切な管理を行わなければ、そこが侵入口になる。これはクラウドサービス全般でも繰り返されてきた教訓だが、AIツールという文脈では「悪用された場合のインパクト」が一段大きい。

第二に、AIツールのURLや公開形式の「パターン」が推測可能な状態にあることのリスクだ。 今回のグループは過去モデルのURLフォーマットを手掛かりにして所在を特定した。これはセキュリティの観点では「情報の隠蔽（セキュリティ・バイ・オブスキュリティ）」に依存しすぎた設計の弱点を突かれた形だ。

実務への影響——日本のIT管理者・エンジニアへ

サードパーティベンダー審査の厳格化

企業がAIツールをSaaS形式で外部ベンダー経由で提供・調達する場合、そのベンダーがどのようなアクセス制御を行っているかを契約前に確認することが必須になっている。「大手だから安心」は通用しない。具体的には以下を確認したい：

• ベンダー従業員のアクセス権の最小化（Principle of Least Privilege）
• アクセスログの監査体制
• インシデント発生時の通知義務と連絡フロー

限定リリースAIツールの社内展開ポリシーの整備

企業が新しいAIツールを「パイロット展開」する際も、同様のリスクがある。アクセスURLや認証情報の管理が社内でどのように行われているかを事前に定義しておくべきだ。特に「試しに使ってみる」段階でのアクセス権管理が手薄になりがちなため、正式展開前のPoC（概念実証）段階にもセキュリティポリシーを適用することを強く推奨する。

インシデントレスポンスにAIを組み込む前提でのリスク評価

Mythosのような「AIによるセキュリティ強化ツール」は今後増えていく。これらを導入する際は、ツール自体が攻撃対象になりうるという前提でリスク評価を行うこと。「守るためのAI」が「攻撃されるAI」にもなりうるという逆説を念頭に置いた設計が求められる。

筆者の見解

今回の件でまず感じたのは、「限定公開による安全確保」というアプローチの脆さだ。公開初日に突破されたという事実は、URLパターンという「公知情報の組み合わせ」だけで侵入できてしまったことを意味する。どれだけ慎重に設計しても、運用層——とりわけ人間が介在するサードパーティの境界——でほころびが生まれることは避けられない。これは特定の企業の問題ではなく、業界全体が繰り返し直面している構造的な課題だ。

一方で、悪意を持たないグループによって発見されたこと、そしてAnthropicが公式に調査を開始したことは、むしろ「発見できて良かった」という側面もある。実際に悪意ある攻撃者が同じ手法で侵入していたら、被害の規模は全く異なっていたはずだ。

企業向けAIツール——セキュリティ系に限らず——を展開していくうえで、今後の業界標準として「AIツールのサプライチェーンセキュリティ」は避けて通れないテーマになる。Zero Trustの原則を、AIサービスのアクセス制御にも本気で適用する時代が来た。「AIを使う」という判断と「AIを安全に使う体制を作る」という判断を、同じタイムラインで進める必要がある。

Mythosのような強力なツールが正しく運用されれば、企業セキュリティの水準を大きく引き上げる可能性がある。だからこそ、その入口となるアクセス管理の設計を、技術的・組織的の両面から丁寧に構築することが求められる。

出典: この記事は Unauthorized group has gained access to Anthropic’s exclusive cyber tool Mythos, report claims の内容をもとに、筆者の見解を加えて独自に執筆したものです。