ねぇ聞いて、これ、結構ヤバいニュース。
5/19、米FRB(連邦準備理事会)とOCC(米通貨監督庁)が、大手銀行のサイバー関連検査の一部を一時停止したって、Bloombergが報じた。
理由は——
AIが見つけた「ソフトウェアの穴」を、銀行が必死に塞いでるから。
「AIがソフトウェアの穴を見つけた」って、聞き慣れない言葉よね。
これ、米Anthropic社の最新AIモデル「Claude Mythos(クロード・ミュトス)」が、ソフトウェアの未知の弱点(脆弱性)を自律的に何千個も発見した、っていう話し。
その穴塞ぎ作業に、JPMorgan、Morgan Stanley、Goldman Sachs等の大手銀行が必死。
「で、日本の銀行は大丈夫なの?」
——印鑑とFAXがまだ現役のあの日本の銀行よ?
整理するわよ。
まず、今日のヤバいファクト
5/19、米国の金融監督当局が動いた:
- FRB(米連邦準備理事会):大手銀の一部サイバー検査を一時停止
- OCC(米通貨監督庁):同じく一部検査を一時停止
- 理由:AIが発見した「ソフトウェアの穴」の修正作業に、銀行が集中するため
- 当局の説明:「監督からの撤退ではなく、意図的な計算された決定」
- 対象:JPMorgan Chase、Morgan Stanley、Goldman Sachs等
- JPMorgan のジェイミー・ダイモンCEO:「これは深刻な仕事だ(It’s serious work)」
つまり、米国の金融監督、AI 時代の現実に合わせて運用変更してる。
これ、めっちゃ重要な前例。
ここで、IT用語、ちょっと整理させて
「脆弱性?」「パッチ?」って、横文字攻撃で頭が痛い人へ。
ここで、超基本だけ整理しておく:
脆弱性(ぜいじゃくせい):
ソフトウェアの弱点や穴のこと。 攻撃者が、ここを突いて侵入する。
パッチ:
ソフトウェアの修正プログラムのこと。 服に穴空いたら当て布(パッチ)で塞ぐじゃない? あれのソフト版。 iPhone やPCの「アップデート」の多くが、実はこれ。
ゼロデイ脆弱性:
発見されたばかりで、まだ修正されてない穴のこと。 「ゼロデイ」=「対応できる時間が0日」って意味。 最も危険な状態。
エクスプロイト:
脆弱性を悪用する攻撃プログラムのこと。 「穴の場所が分かった、じゃあ攻撃する道具作るね」っていう自動ツール。
これだけ覚えれば、今日の記事は読める。
「ミュトス」って、結局何?
ここで、背景の整理。
Claude Mythos Preview(クロード・ミュトス・プレビュー):
- 開発元:Anthropic(米AIスタートアップ)
- 発表日:2026年4月7日
- 一般公開:されてない(「強すぎる」ため)
- 名前の由来:古代ギリシャ語の「μῦθος(mûthos)」=「物語」「語り継がれる根源的な言葉」
何がすごいか:
- 全主要OS・主要ブラウザのゼロデイ脆弱性を自律発見
- 例:FreeBSDの17年間未発見だった、ネット越しに乗っ取り可能な穴を発見
- 「セキュリティ訓練を受けていないエンジニアが『脆弱性探して』と指示しただけで、翌朝には完全に機能する攻撃プログラム(エクスプロイト)が完成」
これ、Anthropic 自身が「ソフトウェアの穴を見つけて悪用する能力が、最も熟練した人を除いて全ての人を上回るレベルに達した」って公式に認めた。
そして、「6-12ヶ月以内に敵対者が同等の能力を獲得する可能性」とも警告。
つまり、AI が見つけた穴を早く塞がないと、攻撃者にも同じ能力が渡る。
時間との戦い。
ちなみに、Anthropic は限定公開プログラム「Project Glasswing」で、約40の技術企業・機関にのみアクセス権を提供。 中央銀行や政府の大半は含まれてない。
「防御側に先行優位を与える」のが、Anthropic の意図。
なぜ、検査を一時停止するのか
ここがファクトのコア。
通常、FRB と OCC は大手銀行のサイバーセキュリティを定期的に検査する。 でも、今は——
1. 銀行が「穴塞ぎ作業」で手一杯
Mythos(ミュトス) が発見した脆弱性、量が多すぎる。 大手銀行の社内チームは、優先順位つけて、ソフトウェアの穴を1つずつパッチ(修正プログラム)で塞いでる最中。
iPhone のアップデートを、何百個も同時にやってる感じ。
2. 検査と修正、両方やると現場が回らない
検査に対応しながら、修正作業もやるのは無理。 当局が「一旦、穴塞ぎに集中して」と判断。
3. 当局も状況把握中
Anthropic は FSB(金融安定理事会、世界の金融監督機関)に Mythos(ミュトス) の発見をブリーフィング中。 規制側もまだ「どう監督すべきか」を模索してる段階。
米国の動き、4月〜5月のタイムライン
ここまでの流れ、整理する:
- 4/7:Anthropic、Claude Mythos Preview 発表
- 4/8:Bessent財務長官 + Powell FRB議長、大手銀CEOと緊急会合
- 4/9-10:Goldman Sachs CEO デビッド・ソロモン、Mythosを「防御目的で使い始めた」と決算発表で公表
- 5月初旬:Anthropic、FSB(金融安定理事会)にブリーフィング開始
- 5/15:Anthropic、対策組織「Project Glasswing」を日本含む米国外に拡大検討
- 5/19:FRB・OCC、大手銀の一部サイバー検査を延期
要するに、米国は4月から5月にかけて、AI時代の金融サイバー監督を、ガチで再設計してる。
日本の動き、4月〜5月のタイムライン
「で、日本はどうしてんの?」
これも整理:
- 4/20:自民党緊急会議
- 4/24:金融庁緊急官民連携会議
- 5/7:金融庁、地方銀行へ対策要請の方針
- 5/12:高市首相、閣僚懇談会でサイバー対策指示
- 5/12:金融庁、官民連携作業部会の開催発表
- 5/12:ベッセント米財務長官来日、3メガバンク幹部と会合
- 5/13:3メガバンク(三菱UFJ・三井住友・みずほ)、Mythos(ミュトス)アクセス権を5月中に確保見込みと報道
- 5/14:作業部会初会合(金融庁主導36団体)
- 5/15:Anthropic、対策組織を日本含む米国外に拡大検討
- 5/18:松本デジタル相トップの関係省庁会議
検討事項には、こんなのも入ってる:
「勘定系システムを一時的に止めてでも、根本的な改修に踏み込む」
決済・送金を止めることを最大のタブーとしてきた日本の金融インフラにとって、これは思想の大転換。
つまり、日本もちゃんと動いてる。 ただし、会議が多い。
印鑑・FAX vs 最先端AI
ここで、整理。
米国の状況:
- AI が何千ものソフトウェアの穴を自律発見
- 銀行が緊急で穴塞ぎ対応
- 当局が検査を一時延期して、穴塞ぎに集中させる
- Goldman Sachs はもう Mythos (ミュトス)を「防御目的」で使ってる
日本の状況:
- 銀行で印鑑必要(一部解消中)
- 役所と銀行の連絡、まだFAX
- 銀行のオンラインバンキング、IE時代の UI 残ってる
- 「マイナンバーカード連携」がまだホットトピック
——え、待って?
「AI がソフトウェアの穴を自律発見」の時代に、まだ印鑑とFAX?
もちろん、日本のメガバンクは、最先端のセキュリティ投資してる。 でも、金融システム全体のデジタル成熟度で見ると、米国とは差がある。
これが、本当に「大丈夫」なのか?
「印鑑とFAX、実は最先端AIには見つかりにくい古代の鍵」 ——みたいなギャグ、言えるかもしれない。
でも、現実は逆。 古いシステムほど、穴が放置されてる可能性高い。
で、日本のあなたに関係あるの?
「米国の銀行の話しでしょ? あたしに関係あるの?」
整理する。
1. メガバンクのシステム障害リスク
三菱UFJ、三井住友、みずほ——3メガバンクは Mythos(ミュトス) へのアクセス権を5月中に確保する見通し(5/13 日経新聞・Reuters報道)。
つまり、現時点ではまだ取得前、これから実運用に入る段階。 日本企業として初の正式利用になる。
ただし:
- 穴塞ぎ作業に追われる可能性
- システム改修中の障害リスク
- 「勘定系一時停止してでも改修」という議論
つまり、近い将来、「銀行のシステム障害でATM使えない」みたいなことが、起きるかもしれない。
これ、過去にもみずほ銀行が大規模システム障害起こしたことあるから、笑い話じゃない。
2. 地銀の対応遅れリスク
地方銀行は、メガバンクに比べて:
- セキュリティ予算が小さい
- IT人材も少ない
- Mythos(ミュトス) へのアクセス権、おそらく未確保
金融庁が地銀に対策要請してるけど、対応の遅れがあれば——
地銀のシステムが、攻撃の入口になる可能性。
「あたし、地銀しか使ってない」って人、ちょっと気にしておく価値ある。
特に:
- 口座のパスワード強化
- 二段階認証の設定
- 定期的な取引明細チェック
これだけでも、リスク減らせる。
3. 金融機関のサイバー投資コスト → 銀行株への影響
これ、投資家視点。
銀行は、サイバー対策に巨額のコストを投じる必要がある:
- AI 防御システムの導入
- セキュリティ専門人材の確保
- 既存システムの改修
短期的には、銀行の利益を圧迫する可能性。 中長期的には、対応できた銀行が生き残る。
メガバンク株、地銀株を持っておる人は、各銀行の「サイバー投資の動き」に注目する価値ある。
今後の注目点
短期(数週間〜数ヶ月):
- 米国:FRB・OCCの検査再開時期
- 日本:金融庁の対応案、6月の取りまとめ
- 各銀行:Mythos(ミュトス) が発見した穴の修正完了状況
- Anthropic:「Project Glasswing」日本拡大の進展
中期(半年〜1年):
- 敵対者(中国、北朝鮮、ロシア等)が同等のAI能力獲得するか
- 国際的な規制枠組み(G7、FSB等)の整備
- 日本の金融インフラ刷新の進捗
締め
AIが見つけた「ソフトウェアの穴」、銀行が必死に塞いでる。
これ、ファクト。 そして、米国と日本、対応のスピード感に差がある。
でも、こういう時、いちばん大事なのは:
世界がどう動こうと、自分の足元だけは整える。
特に、今回のニュースで一番大事なのはOS・ブラウザのアップデート。 Mythos が見つけた穴の多くは、OS やブラウザの中にある。 攻撃者が同じ能力を獲得する前に、パッチ(修正プログラム)が配布されたら、すぐ当てる。
具体的には:
- スマホ・PCのOS、最新にアップデートしておく(iPhone、Android、Windows、Mac全部)
- ブラウザ(Chrome、Safari、Edge、Firefox等)も最新版?
- 銀行の二段階認証、設定しておく
- パスワード、使い回してない?
- 取引明細、定期的にチェックしておく
- メガバンクと地銀、分散しておく
ここから始める。
そして、いつもの結論。
米国の AI が何を見つけようと、 日本の対応が何月にどうなろうと、 自分の口座、自分の判断、自分の足元。
これだけは、人任せにできない。
世界がどう動こうと、自分の足元だけは整える。
それだけ。
※本記事は、Bloomberg、CNBC、The Hill、日経新聞、Reuters、Sullivan & Cromwell LLP、American Banker、TheNextWeb、PYMNTS等の報道・公開情報をもとに構成しています。
