Anthropicは、防御目的の取り組み「Project Glasswing」において、Claude Mythos Previewを利用した約1カ月間の調査で、参加組織が合計1万件を超える重大度HighまたはCriticalの脆弱性を発見したと発表しました。ただし、AIが出力したすべての候補が独立した検証を終えたわけではなく、人による再現確認や修正作業が新たな課題になっています。
The Hacker News:Claude Mythos AI Finds 10,000 High-Severity Flaws in Widely Used Software
この記事のポイント
影響のあるシステム
- Project Glasswingの参加組織が開発・運用する、重要インフラやインターネット基盤を支えるソフトウェア
- AnthropicがClaude Mythos Previewで調査した1,000件を超えるオープンソースプロジェクト
- wolfSSL 3.12.0以上、5.9.1未満のバージョン
- ECCとEdDSAまたはML-DSAを同時に有効化し、証明書検証を行っているwolfSSLのビルド
- 脆弱性の検証、報告、修正、配布に長い期間を要しているソフトウェア開発・運用環境
- オープンソースライブラリを直接または間接的に利用している製品やサービス
推奨される対策
- wolfSSLの該当構成を使用している場合は、修正版の5.9.1以降へ更新してください。
- SBOMや依存関係管理ツールを利用し、自社製品に組み込まれているオープンソースソフトウェアを把握してください。
- 重大な脆弱性を対象とするパッチの検証・承認・展開に必要な期間を見直してください。
- AIが報告した脆弱性候補をそのまま確定事項として扱わず、再現確認と影響評価を実施してください。
- ソフトウェアの初期設定を安全な状態にし、多要素認証や最小権限を適用してください。
- 侵害の検知と事後調査に必要なログを継続的に取得し、適切な期間保存してください。
- オープンソースの保守担当者は、脆弱性報告の受付、重複確認、優先順位付け、修正公開までの手順を整備してください。
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- Project Glasswing:Anthropicが重要なソフトウェア基盤の安全性向上を目的に開始した、防御側のサイバーセキュリティプロジェクトです。
- Claude Mythos Preview:脆弱性調査や侵入テストなど、高度なサイバーセキュリティ能力を持つとされるAnthropicの研究用AIモデルです。
- 脆弱性候補:AIや解析ツールが問題の可能性を指摘した段階の情報です。実際の脆弱性であるかは、人による再現確認や影響評価が必要です。
- True Positive:調査によって、報告された問題が実際に存在する脆弱性であると確認された結果です。
- CVE-2026-5194:wolfSSLの証明書署名検証において、ハッシュサイズやOIDの確認が不足していた脆弱性です。
- CVSS:脆弱性の深刻度を数値で評価する仕組みです。CVE-2026-5194は、NVDのCVSS 3.1で9.1、wolfSSLのCVSS 4.0で9.3と評価されています。
- wolfSSL:組み込み機器からクラウド環境まで使用されている、オープンソースのSSL/TLSライブラリです。
- OID:暗号アルゴリズムや証明書内の属性などを識別するために使用される識別番号です。
- SBOM:Software Bill of Materialsの略称で、ソフトウェアを構成するライブラリや部品を一覧化した情報です。
1万件超という数字を正しく理解する必要性
Anthropicの公式発表によると、Project Glasswingの開始から約1カ月で、参加組織が自社のソフトウェアから発見したHighまたはCritical相当の脆弱性は、合計1万件を超えたとされています。参加組織は、インターネットや重要インフラを支えるソフトウェアを開発・運用する企業などで構成され、Claude Mythos Previewへの限定的な早期アクセスを提供されています。複数の参加組織では、従来と比べて脆弱性の発見速度が10倍以上になったとも報告されています。
一方、この数字を「1万件すべてが検証済みの確定脆弱性」と理解するのは適切ではありません。Anthropicが別途実施したオープンソースソフトウェアの調査では、1,000件を超えるプロジェクトから、AIがHighまたはCriticalと推定した候補が6,202件見つかりました。そのうち1,726件について外部のセキュリティ企業などが詳細に評価し、1,587件が実際に存在する問題と確認され、1,094件がHighまたはCriticalと判定されています。AIによる発見後にも、人による再現確認と深刻度の再評価が必要であることが分かります。
Anthropicの公式更新時点では、HighまたはCriticalと推定された530件がソフトウェアの保守担当者へ報告され、そのうち97件が修正され、88件について公開アドバイザリが発行されたとされています。AIによって脆弱性を探す速度が上昇しても、内容の検証、保守担当者への連絡、修正方法の設計、利用者への更新配布には人手と時間が必要です。今後は発見能力だけでなく、大量の報告を安全かつ正確に処理する体制が重要になります。
wolfSSLで確認された証明書検証の脆弱性
Claude Mythos Previewが発見した具体例として、オープンソースの暗号ライブラリwolfSSLに存在するCVE-2026-5194が公表されています。この脆弱性では、証明書の署名を検証する際に、ハッシュまたはダイジェストのサイズとOIDを適切に確認していませんでした。そのため、本来許可される長さより短いダイジェストが署名検証処理に受け入れられ、証明書ベースの認証強度が低下する可能性があります。
NVDでは、wolfSSL 3.12.0以上、5.9.1未満が影響範囲として登録されています。ただし、wolfSSLの案内では、特にECCとEdDSAまたはML-DSAの両方を有効にし、証明書検証を行うビルドに対して更新を推奨しています。NVDによるCVSS 3.1の評価は9.1でCritical、wolfSSLによるCVSS 4.0の評価は9.3でCriticalです。利用組織は製品名やバージョンだけでなく、ビルド時に有効化された暗号機能と証明書検証の利用状況も確認する必要があります。
Anthropicは、Mythos Previewが証明書の偽造につながる攻撃手法を構築したと説明しています。ただし、すべてのwolfSSL利用環境で直ちに証明書を偽造できるという意味ではなく、実際の影響は利用しているアルゴリズム、ビルド構成、証明書検証方法などによって異なります。wolfSSLは2026年4月8日に公開したバージョン5.9.1で問題を修正しています。該当する構成を使用している場合は、回避策だけに依存せず、修正版への更新を優先することが重要です。
AI時代に必要となる脆弱性管理の再設計
AIによる脆弱性探索が一般化すると、企業が受け取る脆弱性情報の量は増加する可能性があります。これまで月単位や四半期単位で対応していた更新プロセスでは、重大な問題を修正する前に新たな脆弱性が追加され、未対応件数が増え続けるおそれがあります。開発部門と情報システム部門は、重大度だけでなく、インターネットへの公開状況、攻撃の成立条件、悪用コードの有無、自社データへの影響を踏まえて修正の優先順位を決める必要があります。
同時に、AIの出力を無条件に信頼する運用も避けなければなりません。Anthropicの公開データでも、AIがHighまたはCriticalと推定した候補の中には、検証後に誤検知または深刻度の低い問題と判断されたものが含まれています。脆弱性報告を受け付ける側は、再現手順、影響を受けるコード、成立条件、修正案などの情報が十分であるかを確認し、重複報告や品質の低い自動生成レポートを分類する仕組みを整える必要があります。
Anthropicは、開発者に修正サイクルの短縮を求めるとともに、ネットワーク防御側に対してもパッチの検証・展開期間を短縮するよう推奨しています。加えて、安全な初期設定、多要素認証、包括的なログ取得など、個別のパッチだけに依存しない基本対策も重要だとしています。Claude Mythos Previewは、悪用防止策が十分ではないとの判断から一般公開されていませんが、同等の能力を持つモデルが広く利用可能になる可能性を踏まえ、企業は資産管理、更新、検知、対応の全体を見直す必要があります。
参考文献・記事一覧
- The Hacker News
- Anthropic:Project Glasswing: An initial update
- Anthropic:Project Glasswing
- National Vulnerability Database:CVE-2026-5194
- wolfSSL公式GitHubリポジトリ
投稿者プロフィール
-
CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。
■ 情報セキュリティサービス台帳登録事業者
■ セキュリティコンテスト受賞歴
CTF国際大会 世界No.1
CEH Master Leaderboard 世界No.1
Hack The Box Rank TOP10
■ 保有セキュリティ資格
GIAC GXPN、Cisco Cybersecurity Specialist、CEH Master、CEH Practical、
Cyber Security Professional Certificate、OSCP、OSCP+、CPENT、OSWP、
eCPPT、eMAPT、CRTS、SOC-100、PEN-100、
HTB Offshore Penetration Tester(Level 3)
最新の投稿
2026.06.28Claude Mythosが重大脆弱性1万件超を検出、AI時代の修正体制が課題に- News2026.06.26AI時代のDDoS攻撃に備える、Web・API・クラウド防御の見直しが重要
- 2026.06.25Marimoの脆弱性を悪用、LLMエージェントがクラウド認証情報と内部DBを窃取
- 2026.06.24Redisに認証後のRCE脆弱性「CVE-2026-23479」、修正版への更新を推奨
