Apple、Google、Microsoftが協力:AI駆動のサイバーセキュリティ防衛プロジェクトが始動

投稿日: 投稿者: Takahashi_Akihiro

AnthropicがApple、Google、Microsoftなど12社と共同でProject Glasswingを発表。未公開AIモデルが重要ソフトウェアに数千の脆弱性を発見。サイバー攻撃の脅威が月単位から分単位に短縮される中、競合企業が協力して防御に乗り出しました。

Apple、Google、Microsoftが協力:AI駆動のサイバーセキュリティ防衛プロジェクトが始動

2026年4月7日、世界最大級のテクノロジー企業12社が、重要なソフトウェアを守るための共同プロジェクト「Project Glasswing」を発表しました。参加企業は、Amazon Web Services、Anthropic、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、Nvidia、Palo Alto Networksです。通常は激しく競争するこれらの企業が協力する背景には、AIの進化によって深刻化するサイバーセキュリティの脅威があります。

このプロジェクトでは、Anthropicが開発した未公開のAIモデル「Claude Mythos Preview」を使用します。このモデルは、セキュリティ専門家でも見逃していた脆弱性を数千件も発見しました。中には27年間も気づかれなかった重大なバグも含まれています。

CrowdStrike社のCTO、Elia Zaitsev氏は「脆弱性が発見されてから悪用されるまでの時間が、かつては数ヶ月だったものが、AIによって数分に短縮された」と警告しています。この状況の深刻さが、競合企業を協力へと駆り立てたのです。

プロジェクトには400万ドルの直接寄付と、1億ドル相当のClaudeクレジットが投入されます。これは単なる企業のPR活動ではなく、デジタル社会の基盤そのものを守るための緊急対応と言えるでしょう。

Project Glasswingの目的と規模

Project Glasswingは、世界で最も重要なソフトウェアを保護するための取り組みです。プロジェクト名の「glasswing」は、透明な羽を持つ中南米の蝶に由来します。この蝶は周囲に溶け込むカモフラージュ能力と、自分の体重の40倍もの重さを運べる強靭さを持っています。プロジェクト名には、見えない脅威を検出し、強固な防御を築くという意図が込められているのかもしれません。

このプロジェクトの中心となるのは、Anthropicが開発した「Claude Mythos Preview」という未公開のAIモデルです。このモデルは、高度なコーディング能力と推論能力を持つ汎用AIで、サイバーセキュリティ専用に訓練されたわけではありません。しかし、その能力は予想を超えるものでした。

過去数週間のテストで、Mythos Previewは数千件のゼロデイ脆弱性を発見しました。ゼロデイ脆弱性とは、ソフトウェアの開発者や利用者がまだ気づいていない、修正されていないセキュリティ上の欠陥のことです。攻撃者がこれを発見すると、防御する手段がないため、非常に危険です。

発見された脆弱性の多くは、10年から20年以上も現役で使われている重要なソフトウェアに存在していました。例えば、セキュリティで知られるOpenBSDというシステムで、27年間も見逃されていたバグが見つかりました。また、広く使われている動画ソフトウェアでは、16年前から存在する脆弱性が発見されました。この脆弱性があるコード行は、自動テストツールによって500万回も検査されていましたが、一度も問題として検出されなかったのです。

なぜ競合企業が協力するのか

Apple、Google、Microsoftといった企業は、通常は激しく競争しています。それぞれが独自の技術や知的財産を厳重に守り、他社に情報を渡すことはほとんどありません。記事の著者は、SymantecやAppleでの勤務経験から、これらの企業がいかに自社の情報を守っているかを知っています。

それにもかかわらず、今回これらの企業が1億ドル相当のクレジットを提供し、未公開のAIモデルを共有することに合意しました。この事実は、脅威のレベルが「競争」から「存亡」へと変化したことを示しています。つまり、各社が単独で対応するよりも、協力しなければ全員が危険にさらされる状況になったということです。

Cisco社のAnthony Grieco氏は「AIの能力は、重要インフラをサイバー脅威から守るために必要な緊急性を根本的に変える閾値を超えた。もう後戻りはできない」と述べています。Ciscoは、インターネットや企業ネットワークの多くを支える世界的なネットワーク企業です。そのセキュリティ責任者が「従来のシステム強化方法はもはや十分ではない」と認めたことは、状況の深刻さを物語っています。

CrowdStrike社のZaitsev氏の発言も重要です。「脆弱性が発見されてから敵対者に悪用されるまでの時間が崩壊した。かつては数ヶ月かかったことが、AIによって数分で起きるようになった」。これは、防御側が対応する時間がほとんどなくなったことを意味します。

AIが発見した脆弱性の深刻さ

Mythos Previewが発見した脆弱性は、単に数が多いだけではありません。その多くは「微妙で検出が難しい」ものでした。従来のセキュリティツールや人間の専門家では見つけられなかった問題を、AIが発見したのです。

特に衝撃的なのは、これらの脆弱性が長年にわたって見逃されてきたという事実です。27年間も存在していたOpenBSDのバグは、その間ずっと悪用される可能性があったということです。幸い、善良な開発者やセキュリティ研究者が先に発見しましたが、もし悪意ある攻撃者が先に見つけていたら、深刻な被害が出ていたかもしれません。

動画ソフトウェアの16年前からの脆弱性も同様です。このコードは、業界標準とされる自動テストツールで500万回も検査されていました。それでも問題は検出されませんでした。これは、従来のセキュリティ手法の限界を示しています。AIは、人間やプログラムが見落とすパターンを認識できるのです。

Anthropicは、Mythos Previewを一般公開しない方針です。その理由は、このモデルが攻撃者によって武器化される可能性があるためです。脆弱性を発見する能力は、防御にも攻撃にも使えます。悪意ある者の手に渡れば、世界中のシステムを攻撃する強力な武器になってしまうのです。

デジタルインフラの脆弱性

現代社会は、ネットワーク化された技術インフラの上に成り立っています。大規模な発電所から、私たちが身につけるスマートリングまで、ほぼすべてがコンピューターとネットワークに依存しています。

しかし、このデジタルインフラは、単一の企業や製品で構成されているわけではありません。実際には、オープンソースソフトウェアが大きな割合を占めています。オープンソースソフトウェアとは、誰でも自由に使用、改変、配布できるソフトウェアのことです。多くの場合、個人の開発者や小さなチームによって作られています。

数十億ドル規模の商用製品でさえ、個人のプログラマーが書いたソフトウェアライブラリを使用しています。ソフトウェアライブラリとは、特定の機能を提供する再利用可能なコードの集まりです。例えば、暗号化、ネットワーク通信、データ処理などの機能を提供するライブラリがあります。

この複雑な依存関係が、セキュリティ上の大きな課題を生み出しています。ある小さなライブラリに脆弱性があると、それを使用している何千ものアプリケーションやシステムすべてが危険にさらされます。しかも、多くの開発者は自分のソフトウェアがどのライブラリに依存しているか、完全には把握していません。

AIがもたらす脅威と機会

AIの進化は、サイバーセキュリティの世界に二つの大きな変化をもたらしました。一つは脅威の増大、もう一つは防御能力の向上です。

脅威の面では、攻撃者もAIを使えるようになりました。AIを使えば、脆弱性を自動的に探し出し、攻撃コードを生成し、大規模な攻撃を短時間で実行できます。従来は専門知識を持つハッカーにしかできなかったことが、AIの助けを借りれば、技術的に未熟な攻撃者でも可能になります。

一方、防御の面でも、AIは強力なツールになります。Mythos Previewが示したように、AIは人間やプログラムが見逃す脆弱性を発見できます。しかも、その速度は人間をはるかに上回ります。数週間で数千件の脆弱性を発見できるのは、AIならではの能力です。

問題は、攻撃側と防御側のどちらが先にAIの力を活用するかという競争になっていることです。Project Glasswingは、防御側が協力してAIを活用し、攻撃者より先に脆弱性を見つけて修正しようという取り組みです。

プロジェクトができること・できないこと

Project Glasswingにより、世界中の重要なソフトウェアの脆弱性を、これまでにない速度と精度で発見できるようになります。例えば、何百万人もの人が使っているオペレーティングシステムやネットワークソフトウェアに潜む、長年見逃されてきたバグを見つけ出すことができます。また、複数の企業が協力することで、発見した脆弱性の情報を迅速に共有し、修正プログラムを開発できます。

さらに、1億ドル相当のClaudeクレジットにより、参加企業は自社のソフトウェアをAIで徹底的に検査できます。これは、個々の企業が単独で行うよりもはるかに効率的です。Linux Foundationのような組織が参加していることで、オープンソースソフトウェアのセキュリティも強化されます。

一方で、このプロジェクトにも限界があります。まず、すべての脆弱性を見つけられるわけではありません。AIは強力ですが、完璧ではありません。新しいタイプの脆弱性や、AIが学習していないパターンは見逃す可能性があります。

また、脆弱性を発見しても、それを修正するには時間がかかります。特にオープンソースソフトウェアの場合、修正プログラムを開発し、テストし、配布するプロセスには、ボランティアの開発者の協力が必要です。すべてのユーザーが修正プログラムを適用するまでには、さらに時間がかかります。

さらに、攻撃者もAIを使っているという事実は変わりません。Project Glasswingが脆弱性を見つけて修正している間も、攻撃者は別の脆弱性を探しています。これは終わりのない競争です。Cisco社のGrieco氏が「もう後戻りはできない」と述べたのは、この新しい現実を指しています。

私たちへの影響

このニュースは、インターネットを使うすべての人に影響を与えます。私たちが日常的に使っているスマートフォン、パソコン、ウェブサービスは、すべて複雑なソフトウェアで動いています。そのソフトウェアに脆弱性があれば、個人情報の漏洩、金銭的被害、サービスの停止などのリスクにさらされます。

短期的には、Project Glasswingによって多くの脆弱性が発見され、修正されることで、私たちが使うシステムの安全性が向上します。例えば、銀行のオンラインサービス、病院の医療記録システム、電力網の制御システムなど、重要なインフラのセキュリティが強化されるでしょう。これらのシステムが攻撃されれば、社会全体に深刻な影響が出ます。

中長期的には、AIを活用したセキュリティ対策が標準になると考えられます。ソフトウェア開発の過程で、AIが自動的にコードを検査し、脆弱性を指摘するようになるでしょう。これにより、新しいソフトウェアがリリースされる時点で、すでに多くのセキュリティ問題が解決されている状態になります。

ただし、注意すべき点もあります。AIによるセキュリティ対策が進む一方で、攻撃者もAIを使った攻撃を高度化させています。私たち個人も、基本的なセキュリティ対策を怠ってはいけません。強力なパスワードの使用、二段階認証の有効化、ソフトウェアの定期的な更新など、できることは確実に実行する必要があります。

また、企業や組織で働く人は、自社のシステムがどのようなソフトウェアに依存しているかを把握し、セキュリティ更新を迅速に適用する体制を整えることが重要です。Project Glasswingのような取り組みは、脆弱性を発見する助けにはなりますが、最終的にそれを修正し、適用するのは人間の責任です。

出典:Apple, Google, and Microsoft join Anthropic’s Project Glasswing to defend world’s most critical software(www.zdnet.com)

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です