■Mythos?
"AIがプログラムのバグや弱点を見つけて、攻撃方法まで考える"
容易に想像していた未来ですが、現実のものとなりました。
特に最近セキュリティ界隈で話題に上がるのは「Mythos」、「Claude Mythos」、「Claude Mythos Preview」です。
※本記事では都合上Mythosで統一しますが、厳密にはそれぞれ違いがありますのでご留意ください。
いま「Mythos」がセキュリティ界隈で話題なのは、
AIが"コード補助"ではなく、実際にセキュリティ熟練者レベルの脆弱性発見能力やエクスプロイト能力を示した
と言われている(もしくはそうした結果がすでに出ている)からです。
特に AI (Mythos) × 脆弱性 で最近のトピックとして挙がるのは以下の4つです。
1. 脆弱性発見能力
Mythos は大量のコードを解析して、
- メモリ関連
- 競合関連の脆弱性
- ロジック設計の脆弱性
という複雑な脆弱性を自動で見つけることが可能です。
従来の「既知パターン検出」より、人間に近い探索型になってきたのが大きな変化です。
とはいえ、大量のコードを解析できる時点で人力よりリードしてる感はありますね。
特に他人が書いたコードって読みにくかったりしますし。
2. exploit chain の自動生成
単一の脆弱性のみではなく、攻撃のフローである
- 初期侵入
- 権限昇格
- サンドボックス回避
などを理解する能力にも長けています。
最近ではMythosを使ってmacOSの防御機構に対するエクスプロイトを行う研究が話題になりました。
AI単独というわけではないですが、
macOSはそもそも権限管理がかなり堅牢で、端末を守る為のセキュリティソフトであっても保護を行うことが難しい側面があります。
そういった部分にも手が届いてしまう(しまいかねない)というのは非常に高い水準の能力を持っていることが伝わってきます。
3. ゼロデイ探索
AIが攻撃に関与することで、一番インパクトが大きい部分かもしれません。
- パッチ差分解析(更新前後のコード比較)
- ファジング(異常入力による脆弱性探索)
- 実行経路解析(コードの動作追跡)
を高速でトライして、未公開の脆弱性(ゼロデイ)を見つけることも可能です。
ただでさえ対応することが難しいゼロデイ攻撃が一気に大量に発生する。といえばイメージしやすいでしょうか。
まとめるとこんな感じです。
こうした背景から、攻撃側と防御側双方がAIを使い始めています。
例えばAI agent に
- reconnaissance(対象環境の情報収集)
- 脆弱性探索(弱点や不備の発見)
- exploit生成(攻撃コードの作成)
- lateral movement(内部ネットワーク内での横展開)
みたいな攻撃のテストをさせて利用しています。
こうした流れの中で特に問題視されているのはAIによって攻撃コストが大幅に下がり、攻撃手法の開発も高速化していることです。
これまで高度な知識が必要だった攻撃手法をより低レベルの攻撃者でも扱いやすくなり、「攻撃の量」そのものの急増が懸念されています。
■どう対応していく?
対応を難しくしている要素は、
脆弱性発見から攻撃手法化までのスピードが急激に短くなっている
という点です。
また、最近はpatch 公開直後の攻撃への転用、AI によるゼロデイ探索、攻撃チェーンの自動生成
が現実的になってきており、従来の"後追い型"や"気づいた時運用"では対応が難しくなっています。
これから重要なのは、
・きめ細かく短いスパンで行われるリスクアセスメント
・迅速なパッチ適用による脆弱性対応
・端末の厳格なルール/ポリシー管理によるガバナンス強化
です。
さらにこれらを実現するうえで人力というアンサーは既に最適解ではなくなっています。
Autonomous Endpoint Managementという、自律型のエンドポイントのセキュリティ管理が必要になります。
AI によって攻撃側が高速化する時代だからこそ、防御側にも "Autonomous" な運用基盤が求められている。
または"Autonomous" が前提条件となる時代になったという事だと思います。
最近ではエンドポイントセキュリティ製品や資産管理系の製品が、
そういった部分にも着目し端末内に残る脆弱性の確認やパッチ適用などもできるようにしていたりします。
ただ、別分野からハイジーン対策に派生した製品では
あくまでレジリエンス部分がメインであり、オプション的にハイジーンもできる
という形になってしまいがちです。
もちろん保護という観点ではレジリエンスを考えることは決して間違いではありませんが、その場合ハイジーン部分は対応のスピード感や資産の管理性能。またはハイジーンを行う際のリソース効率や最適化などに課題を抱えてしまいがちです。
レジリエンス部分はレジリエンスが得意な製品に。
サイバーハイジーン部分はサイバーハイジーンを本職としている製品にしっかりと任せる。
という使い方ある種安全な考え方かもしれません。
Mythosについて細かく説明すると長大な記事になってしまう(そもそも私にはそこまで書けない...)ので、文章にしきれなかった部分はFAQという形にさせていただきます。
##Mythos関連FAQ##
Q1. 読み方
私が間違っていなければ"ミュトス"です。
Q2.Mythos関連でよく聞くAnthropicて?
Claudeを作っているアメリカのAI企業。
AI開発をしている会社を言って聞かせるほどたくさん知っているわけではないのですが、公式HPなどを見るとものすごく崇高な理念みたいなものを持っている気がします。
今回の情報公開が慎重で軟着陸っぽくなっているのはそのおかげかもしれませんね。
Q3. Mythosはなぜセキュリティ業界で注目されているのですか?
理由はいろいろありますが
従来は専門家による長時間の調査が必要だった脆弱性発見や検証を、凄まじい速度で発見してしまったりします。
そのため開発元も防御側が先に重要ソフトウェアの問題を見つけて修正できるようにする仕組みづくり(Project Glasswing)を進めていたりします。
そもそもセキュリティに関して特別な訓練をしたわけではないのに、そう言った分野で飛び抜けた能力を発揮したためみんな戦々恐々としてしまった部分も大きいでしょうね。
Q4. Mythosは攻撃用AIてこと?
違います。
Anthropicは、防御側のセキュリティ強化を目的とした研究・検証用途として位置付けています。
ただ、高度な脆弱性解析能力を持つので防御・攻撃の両面に影響を与える可能性がでてしまう。
そういった意味で攻撃的な部分と防御的な部分があることは否めないのだと思います。
どんな道具だって使う人や持つ人次第という事ですね。
Q5. Mythosによって攻撃がすぐに急増する?
AIモデルが開発されて、広く利用されるまでには数年くらいかかる?とは思いますが、そもそもMythosは影響を懸念されてより慎重に取り扱われるのでは。
ただ、そういった意味での情報管理による歯止めがいつまで通用するのかと言われると正直私などには及びもつかないですね。
Q6. 企業のセキュリティ担当者は何を意識すべき?
重要なのは、「ただ脆弱性を見つける」だけではありません。
見つかった脆弱性に対して「自社のどの端末・サーバー・アプリケーションが影響を受けるのか」をリアルタイムに把握し、優先順位を付けて即対応できるかが大事です。
Q7. AI時代の脆弱性管理では何が変わる?
脆弱性情報を"定期的に確認する"運用から、"リアルタイムに把握し、すぐに判断し対応する"運用への移行が求められます。
AIにより脆弱性発見の速度が上がるほど、企業側では「資産の可視化/影響範囲の特定/修正状況の確認」をリアルタイムに近づけることが肝心になってきます。
さらにパッチ適用、不要なソフトウェアの削除、設定不備の解消、端末・サーバーの棚卸しといった基本対策が整っていないと、AIによって発見された脆弱性への対応が後手に回りやすくなります。
Q8. まず企業が取り組むべきことは?
最初に取り組むべきなのは、上でもあげましたが自社環境の正確な把握です。
どの資産が存在し、どのソフトウェアが動き、どの脆弱性が残っているのかを把握できなければ、AI時代の脆弱性対応は始まりません。
そのうえで、影響度の高いものから優先的に修正する仕組みが必要です。
Q9. 対応のリアルタイム性を高めるためにはどうしたらいいですか?
重要なのは、脆弱性を"見つけること"だけではなく、「今その端末がオンラインなのか」「対象ソフトウェアが実際に存在するのか」「対処後に本当に修正されたのか」を即座に確認できることです。
従来型の脆弱性対応製品では、定期スキャンや複数ツール連携を前提とするケースも多く、検知から調査、対処確認までにタイムラグが発生する場合があります。
AIによって脆弱性発見のスピードが上がるほど、エンドポイントの状態をリアルタイムに近い形で可視化し、単一基盤上で迅速に調査・対処・確認まで行える運用の重要性が高まっています。
■最後に
Mythosを起点にサイバーハイジーンを考える記事でした。
ご一読いただき、ありがとうございました。
※本ブログの内容は投稿時点での情報となります。今後アップデートが重なるにつれ
正確性、最新性、完全性は保証できませんのでご了承ください。
他のオススメ記事はこちら
著者紹介
SB C&S株式会社
技術本部 技術統括部 第4技術部 1課
宮澤 建人
