FlowTune Media

FRB議長と財務長官がウォール街を緊急召集——AIモデル1つに金融当局が動いた日

AnthropicClaudeセキュリティ銀行フィンテックMythos速報

Anthropic Claude Mythos

連邦準備制度理事会(FRB)議長と米財務長官が、ウォール街の頭取を呼びつけてAIモデルの話をした——。

そんな映画のあらすじみたいな出来事が、2026年4月7日、ワシントンDCの米財務省本部で実際に起きた。CNBC、Bloomberg、Fortune、CBS News、Reuters、Yahoo Financeなどが4月10日に一斉に報じ、米金融セクター全体に緊張が走った。

呼び出された側のメンバーはこうだ。

  • Citigroup CEO Jane Fraser
  • Morgan Stanley CEO Ted Pick
  • Bank of America CEO Brian Moynihan
  • Wells Fargo CEO Charlie Scharf
  • Goldman Sachs CEO David Solomon

JPMorganのJamie Dimonも招集されたが、当日は参加できなかったと報じられている。米国を代表する銀行のトップがほぼ全員、AIモデル「Mythos」のせいで予定を空けることになった。これだけでも異常事態だ。

何が起きたのか

きっかけは2026年4月7日にAnthropicが発表したClaude Mythos Previewだ。Anthropicがこれまで作ったなかで「最強」と公式に位置付けながらも、一般公開しないと宣言したフロンティアモデル。理由はシンプルで、コーディング能力——特にゼロデイ脆弱性の発見能力——が、人間のセキュリティ研究者を超えているからだ。

Anthropicが公開した数字によると、Mythosはすでに数千件のゼロデイ脆弱性を発見している。主要なOSとWebブラウザのほとんどにわたる。さらに恐ろしいのは、複数の脆弱性を自律的に組み合わせて、機能する攻撃チェーン(exploit chain)を構築できる点だ。「脆弱性を見つける」と「実際に攻撃する」の間にある分厚い壁を、Mythosは一人で乗り越えてしまう。

このニュース自体が4月8日に世界中を駆け巡り、AIコミュニティでは「強すぎて非公開、はAnthropicのマーケティングではないか」という冷ややかな見方も出ていた。

しかし、その3日後に金融当局が動いた。「マーケティングだろう」と笑っていた読者は、ここで顔色を変えることになる。

財務省の判断

FRBと財務省が銀行CEOに伝えた内容を整理すると、要点は3つに集約できる。

1. Mythosと類似モデルが将来もたらす可能性のあるリスクを、銀行は認識しておく必要がある。

2. 今のうちに防御態勢を整えておくべきだ。

3. これは脅すために集めたのではなく、現実的なシナリオとして共有する場だ。

ニュアンスが重要だ。当局は「Mythosが今すぐ銀行を攻撃する」とは言っていない。Mythos自体は40の組織にしか限定提供されておらず、Anthropicの管理下にある。問題はそこではない。問題は、「人間より速く、深く、脆弱性を見つけて連鎖的に攻撃を組み立てるAI」が技術的に成立してしまった、という事実だ。

これは、Anthropicだけが持つ独占技術ではない。OpenAI、Google DeepMind、xAI、中国の主要モデル開発元——同じ水準の能力にいずれ到達する企業は複数ある。Anthropicは「危険だから出しません」と判断したが、別のラボが同じ判断をするとは限らない。あるいは、内部の研究者がリークすることもありえる。

つまり当局が動いたのは、「Mythosそのもの」ではなく、「Mythosが示してしまった次のフェーズ」に対してだ。

なぜ銀行か

サイバー脅威が問題なら、なぜ金融当局が動くのか。電力会社や病院ではいけないのか——という疑問は当然出てくる。いくつか理由が重なっている。

ひとつは、銀行システムへの攻撃が即座に金融システム全体の信頼を揺るがすからだ。1つの大手銀行のオンラインバンキングが30分止まるだけでも、SNSにスクリーンショットが飛び交い、預金引き出しの動きが連鎖する。実害より「不安」のほうが速く広がる。

もうひとつは、金融機関が抱えているレガシーシステムの厚みだ。米大手銀行のコアバンキングシステムには、1970年代から動き続けているCOBOLコードが残っている部分が珍しくない。Mythosが見つけられるゼロデイは、最新のWebブラウザだけでなく、こうした「20年間誰もコードレビューしていない」資産にも当然及ぶ。攻撃者にとって金融インフラは技術的にも利益的にも美味しい標的になる。

3つめは、規制側の予防的責任だ。実際に攻撃が起きてから動くのではなく、技術トレンドを読んでCEOに警告するというのは、FRBと財務省の通常モードからするとかなり踏み込んだ動きだ。「言わなかった責任」を取りたくない、という官僚の本能が透けて見える。

Project Glasswingという受け皿

ここで救いになっているのが、AnthropicがMythos発表と同時に立ち上げたProject Glasswingだ。要点は、Mythosの能力を防御側に提供する取り組みである、ということ。

Anthropicは最大1億ドル分のMythos利用クレジットを、防御側の企業・組織に提供すると発表している。立ち上げパートナーには、JPMorgan Chase、Amazon、Google、Microsoft、Apple、Nvidiaなどが名を連ねている。銀行サイバーセキュリティの観点では、JPMorganが当初から組み込まれていることが大きい。「攻撃に使われる前に、自分のコードベースをMythosに見せて穴を埋める」というモデルだ。

筆者の見立てとして、今回のFRB+財務省のミーティングは、Project Glasswingの普及を実質的に後押しする効果を持つ。当局が「使うべきだ」と直接口にしたわけではないが、銀行CEO5人が部屋でこの話を聞いた以上、各行のCISO(最高情報セキュリティ責任者)が動かないわけがない。

実際、TechCrunchは4月12日に「トランプ政権関係者が銀行に対してMythosの試用を促している可能性がある」と報じた。明示的な強制はないが、シグナルとしては十分だ。

国内金融機関への示唆

日本の金融機関にとってもこれは他人事ではない。むしろ、米国よりも事態が複雑になる可能性がある。

理由は3つある。

ひとつは、メガバンク3行と地銀100行以上を抱える日本の金融セクターも、同じレガシーコード問題を共有していること。富士通、NEC、日立がメインフレームを保守してきた歴史があり、攻撃面(attack surface)の総量は米国に劣らない。

ふたつめは、日本独自のセキュリティガバナンスがMythos的なAIに対応できていないこと。FISC安全対策基準は更新が続いているが、「AIが連鎖的にゼロデイを発見する」前提のルールはまだ整備されていない。米国でFRBが動いたという事実は、金融庁の将来的な対応を促す材料になる可能性がある。

3つめは、Project Glasswingにアクセスできる日系企業がほぼ存在しないこと。立ち上げパートナーは米国・中国系の大手ばかりで、邦銀系の名前は当面入らないだろう。仮にMythosと同等のAIが日本の銀行を狙う事態になった場合、防御リソースの非対称性は深刻になる。

「日本の銀行はそんな高度な攻撃の標的にならない」と思う読者もいるかもしれない。しかし、Mythosが見つけたゼロデイの一部は、商用ソフトの広く使われている共通ライブラリ層にあると想像できる。日本の銀行が直接狙われなくても、間接的に同じCVEで穴が空く可能性はある。

何を読み取るべきか

このニュースから持ち帰るべきポイントは3つある。

1. AIによるサイバー攻撃能力は「来年の話」ではなく「今この瞬間の話」になった。 Anthropicが「危険すぎる」と判断したモデルは実在しており、当局がそれを根拠に動いている。技術トレンドの遅れた認識でリスク評価をしている組織は、すでに半歩遅れている。

2. 防御側にも同じAIが必要になる。 Project Glasswingが示しているのは、「AIが見つける脆弱性は、AIが先に見つければ防御できる」という単純な事実だ。今後、企業のセキュリティ予算における「AIによるコード監査」の比重は急速に上がる。CodeRabbitやQodoのような既存のAIコードレビューツールも、Mythos水準の能力には遠いが、地続きの方向にある。

3. 当局の動きは加速する。 FRBと財務省が動いた以上、SECやCFTCが続く可能性がある。EUのDORA(デジタルオペレーショナルレジリエンス法)にもAI関連条項の更新が入る流れになりそうだ。AIモデル単体への規制ではなく、「AIによるサイバー脅威を金融機関がどうマネジメントしているか」という運用面の規制が増える。

筆者として正直なところを言えば、Mythosが本当に「これまでで最強」なのか、それとも一部の誇張があるのか、外部から検証する手段はまだない。Anthropicの自己申告に依存している。それでも、当局が反応した事実だけで、この話は重要だ。「強すぎて非公開のAI」というキャッチーなフレーズは、もうマーケティングではなく、規制とセキュリティ実務の現場用語になっている。

参考:

関連記事