アングル：アンソロピック「ミトス」、ＡＩでサイバー攻撃可能銀行に脅威

写真はアンソロピックのロゴを使ったイメージ。3月1日に撮影。REUTERS/Dado Ruvic

[１３日ロイター] - 米新興企業アンソロピックが７日に発表した新たな人工知能（ＡＩ）モデル「クロード・ミトス・プレビュー（略称ミトス）」は、複雑なサイバー攻撃を加速させ、旧来のシステムを稼働させている銀行業界に大きな課題を突きつける――。複数の専門家がこうした警鐘を鳴らしている。

ミトスについてアンソロピックはブログで、その自律的な行動力に触れてこれまでの同社モデルで「コーディングとエージェント作業の性能が高い」と説明した。

高度なコーディング能力の取得により、ミトスはサイバーセキュリティー面の脆‌弱性を特定し、それを悪用する方法を考案する上でかつてないほどの潜在的な力を手にすることになった、というのが専門家の見解だ。

企業向けＡＩセキュリティー企業ガードレール・テクノロジーズのＴ・Ｊ・マーリン氏は、これは銀行やその他金融機関にとってとりわけ問題になると指摘した。これらの機関は最新鋭のツールと数十年来の古いソフトウエアを統合した技術を組み合わせて運用しており、結果的に膨大な数の脆弱性が生じる恐れがあるためだという。

マーリン氏は、ミトスは古いシステムを含めた非常に複雑な構造全体を見渡すことが可能で、「率直に言うと、そこにはこれまで未発見だった脆弱性や複雑性があり、今やそれらがサイバー攻撃可能な脅威として可視化されてしまう」との見方を示した。

また銀行業界は緊密に関連し合っており、多⁠くの企業が顧客の新規受付や本人確認、取引処理のために限られた種類のソフトウエアを利用している。

米通貨監督庁（ＯＣＣ）出身で現在はサンフランシスコを拠点にコンサルタントとして活動するナレシュ・ラヘジャ氏は「多くの銀行が同一のベンダーやソリューションを使っている」と話す。

マーリン氏によると、このような状況がセキュリティー侵害の「影響増幅要因」として機能し、ＡＩを悪用した攻撃が「大規模かつ壊滅的な被害をもたらしかねない」と訴えた。

米英カナダ３カ国の当局者は、ミトスがもたらす脅威について既に銀行首脳らと会って協議している。

米財務省は、トランプ政権が金融機関に「幅広い市場の動向を理解し想定する」よう働きかけており、この問題でさらなる協議を予定していると明らかにした。

ロイターはアンソロピックにコメントを求めたが、７日の発表以上の回答を控えた。ただ同社は、ミトスは一般公開せずに「プロジェクト・グラスウイング」という枠組みの下で、主要テック企業とサイバーセキュリティー企業、ＪＰモルガン・チェースなどとともに非公開でミトスの評価や事前の防御対策を進めていくとしている。

＜ミトスの能力＞

アンソロピックは、プロジェクト・グラスウイングの立ち上げを表明した際に、ミトスは全ての主要なコンピューターの基本ソフト（ＯＳ）で、これまで発見されなかっ‌た脆弱性を特⁠定し、悪用することも可能だと説明していた。

同社の研究者らは技術ブログで、ミトスが「数千」もの深刻度が「高い」もしくは「緊急」とされる脆弱性を特定した経緯を詳しく描写している。これは標的がデータや運用の侵害を含めた重大な影響にさらされる恐れがあることを意味する。

例えば研究者らは、音声・動画ファイルの処理に広く使われている「ＦＦｍｐｅｇ」と呼ばれるソフトウエアライブラリに存在する１６年前の脆弱性をミトスが特定した手法に言及した。また１台のコンピューター上で複数の仮想マシンを安全に動かすための中核ソフトのプログラムにおけるバグを特定した経緯にも触れている。

非営利団体クラウド・セキュリティー・アライアンスに属するサイバーセキュ⁠リティー企業幹部や元米政府高官らは１２日の戦略ブリーフィングで、ミトスは高性能ＡＩモデルの進化軌道における「不連続な飛躍」を意味しており、脆弱性の発見や悪用にかかるコストを引き下げ、組織による修復を上回る速度でそれらの実行を可能にしてしまう、と懸念を示した。

長年にわたるセキュリティー問題の研究者でサイバーセキュリティー企業ＴＬＰＢＬＡＣＫ共同創業者のコスティン・ライウ氏はインタビューで、銀行業界には何十年も前に初期リリ⁠ースされ、その後何度も更新を重ねてきた重要なレガシー技術システムが存在すると述べ、ＩＢＭなどの企業が提供する製品をその一例として挙げた。

ライウ氏はＩＢＭに関連する脆弱性の研究例を引き合いに「ミトスのようなモデルなら、特定のＩＢＭのシステムで脆弱性の悪用手段を簡単にいくらでも探り出すだろう。そしてこれは金融業界を動かしている『古代的な』技術のほんの一例に過ぎない」と分析した。

ＩＢＭは９日のブログに、⁠ミトスが「企業のセキュリティーチームに防御のあり方を根底から見直すことを強いている」と危機感を示し、より多くの企業や研究者がモデルにアクセスできるようにして全員のセキュリティー向上につなげるべきだと提言した。

ＪＰモルガン・チェースは先週の声明で、ミトスを非公開で評価している主要企業グループの一員であると明かし、それについて「重要インフラ全般における防御的なサイバーセキュリティーのための次世代ＡＩツールを評価する特異で初期段階の機会」と呼んでいる。

ＩＢＭとＪＰモルガン・チェースはコメント要請に回答していない。

私たちの行動規範：トムソン・ロイター「信頼の原則」, opens new tab

Cybersecurity correspondent covering cybercrime, nation-state threats, hacks, leaks and intelligence

Reporter covering cybersecurity, surveillance, and disinformation for Reuters. Work has included investigations into state-sponsored espionage, deepfake-driven propaganda, and mercenary hacking.