日本の3メガバンクとMythosをめぐる最新動向
2026年5月13日、日本経済新聞・Bloomberg・共同通信が一斉に報じました。三菱UFJ・三井住友・みずほの3メガバンクが、Anthropicの最新AIモデル「Claude Mythos Preview」のアクセス権を早ければ今月中に確保できる見通しになったというニュースです。
「今さら」と感じた方も多いかもしれません。実はMythosをめぐる動きは数週間前から水面下で進んでいました。4月24日には片山さつき金融担当相が日銀総裁・3メガバンク頭取・JPX CEOを集めた緊急会合を開催し、官民共同の作業部会を立ち上げています。5月12日には高市総理が閣僚懇談会でサイバー攻撃対策を正式に指示し、来日したベッセント米財務長官との会合でアクセス権付与が伝達されたとみられています。今日(5月14日)、その作業部会がいよいよ正式始動しています。
「Claude Mythos」とは何か—史上初、発表と同時に封印されたAI
2026年4月7日、Anthropicは前代未聞の発表を行いました。史上最強と評される「Claude Mythos Preview」を公開しながら、同日に「一般には販売しない」と宣言したのです。
Mythosの恐ろしさは、セキュリティ専用に訓練されたわけではないにもかかわらず、コーディングと推論能力の向上が「意図せず」驚異的な脆弱性発見能力を生み出した点にあります。数学オリンピック(USAMO 2026)のスコアはMythosが97.6%に対し、従来最上位のOpus 4.6はわずか42.3%。コーディング精度も93.9%を記録し、AIの能力が「別次元」に突入したことを示しています。
ゼロデイ脆弱性を数千件—その圧倒的な発見能力の実態
Anthropicは発表前の数週間で、主要OS・ブラウザ・重要ソフトウェアのゼロデイ脆弱性を数千件発見したと公表しています。OpenBSDに27年間見逃されていた脆弱性、FreeBSDに17年前から存在するRCE脆弱性、Firefoxエクスプロイトの成功回数180回超(Opus 4.6は2回)——いずれも開発者自身が把握していなかった「未知の欠陥」です。脆弱性の深刻度評価精度は89%、専門家の手動検証でも98%のケースで「1レベル以内の誤差」に収まっています。もはや「補佐するAI」ではなく「単独で完結するAI」の領域に踏み込んでいます。
日本のメガバンクが「本当に怖いもの」—レガシーシステムという時限爆弾
Mythosが怖いのは外部からの攻撃としてではなく、「防衛側が自行のシステムに適用した瞬間に何が暴かれるか」という点です。日本のメガバンクのコアシステムは1960〜80年代に構築されたものを統合のたびに継ぎ接ぎで拡張してきた歴史があります。みずほ銀行の三行統合で「どちらのシステムも生かす」という政治的判断が大規模障害を繰り返させたのは、組織の主導権争いがそのままコードに刻まれた結果です。欧米メディアが指摘するように、これらのレガシー基盤は「影響増幅装置」そのものであり、Mythosがスキャンすれば脆弱性だけでなく内部不正の痕跡まで可視化される可能性があります。
顧客情報流出・詐欺被害—30年分のツケが可視化されたとき何が起きるか
法的な問題も浮上します。民法上の時効は「損害と加害者を知った時から5年」が原則ですが、「知らなかった」のか「知らされなかった」のかが争点です。Mythosのスキャンで30年来の脆弱性が証明されれば「被害者が認識した時点」がリセットされる解釈も成り立ちます。個人情報流出の慰謝料、詐欺被害との因果関係、内部不正のガバナンス責任、消費者団体による集団請求——これらが積み上がれば、理論上は1行あたり兆円単位になる可能性も否定できません。生保・損保も30〜40年単位の契約履歴が対象になりうる点で、リスク構造は同じです。
Project Glasswing—攻撃と防衛の間に立つ異例の産官連携
Anthropicはこの能力を防衛に活用するため「Project Glasswing」を立ち上げました。透明な羽を持つ蝶の名を冠したこのプロジェクトには、Microsoft・Google・Metaといった競合企業さえも参加する異例の連合体です。Anthropicは1億ドルの利用クレジットと400万ドルの直接寄付を拠出しています。日本の3メガバンクへのアクセス権付与も、このフレームワークの中で行われる見通しであり、単なるAIツール導入ではなく日米の金融インフラを守る安全保障的連携として位置付けられています。
「忖度しない監査者」の登場—第三者委員会の時代の終わり
不祥事のたびに設置される第三者委員会は、調査範囲を当事者が設定でき、業界に近い委員が入り、「再発防止策を講じます」で締まるという構造的問題を抱えてきました。しかしAIのスキャンは忖度しません。調査範囲を当事者が決められず、ログは消せず、「知らなかった」が通じません。戦々恐々としているのはサイバー犯罪者だけでなく、長年問題を先送りにしてきた経営陣と監督官庁かもしれません。金融庁が積極的に動いているのも、「先にAI側に立っておかないと自分たちも射程に入る」という計算が働いている可能性があります。
タイムリミットは6ヶ月—今、日本が動かなければならない理由
専門家の間では、他のモデルがMythosに匹敵する能力を持つまで残り約6ヶ月という見方が広まっています。年間約5000億ドルと推計されるサイバー犯罪コストが、Mythosクラスの能力を持つAIが悪用されれば現在の想像を超える規模に膨らむことは想像に難くありません。防衛側がMythosで自らの脆弱性を先に発見・修正できるかどうか——この6ヶ月が日本の金融インフラの命運を左右するかもしれません。
まとめ—私たちは「AIが忖度しない時代」の入り口に立っている
今回の一連の動きは単なるAIツール導入ではありません。「30年間先送りにされてきた問題が、忖度しない目で初めて検査される」という歴史的な転換点かもしれません。利用者にとっては歓迎すべきことのはずです。しかし銀行・保険会社・監督官庁にとっては「見て見ぬふりをしてきたものが全部出てくる」という恐怖でもある。一企業が世界中の主要ソフトウェアのゼロデイ脆弱性を保有・管理しているという事実も、慎重に見守るべき問題です。その「番人」が人間ではなくAIであるというのは、皮肉でもあり、必然の帰結でもあるのかもしれません!
※本記事は公開情報および筆者の独自解説をもとに構成しています。法的リスクに関する記述は一般的な解説であり、個別の法的アドバイスではありません。
