🛡️ Claude Mythos 32-step攻撃完遂｜AI×サイバー攻撃の臨界点が観測された日

目次

• AIが「ハッカー」として人間並みになった、地味だけど震える話
• そう考える4つの理由
  • The Last Ones（TLO）32ステップとは何か
  • 3/10完遂と平均22ステップの解釈
  • Anthropic自身が公表したことの重み
  • 規制・セキュリティ業界への波及効果
• まとめ：「攻撃も防御もAIに任せる」時代の心構え

---

AIが「ハッカー」として人間並みになった、地味だけど震える話

サイバー攻撃って、映画では数秒でハッキングされるけど、リアルでは 数時間〜数十時間かかる長丁場 なのよ。

英AI Security Institute（AISI）が2026年4月に公表した評価で、Anthropic Claude Mythos Preview が 32ステップの企業ネットワーク攻撃シミュレーション（人間で約20時間相当）を 初めてEnd-to-Endで完遂 した。

成功率は 3/10試行、平均完遂ステップ数 22/32。次点の Claude Opus 4.6 は平均16ステップ。エキスパート級タスクでは 73%成功。

これは「自律型AI攻撃が技術的に可能」と公的研究機関が認めた、業界の 臨界点（threshold） 突破イベント。

しかも Anthropic自身がこの結果を公表 してるのが面白い。「うちのAIは攻撃もできちゃうんですよ、警戒してね」って自分から言ってる感じ。

これ、わたしたちユーザーにも遠くない話だから整理する。

---

そう考える4つの理由

The Last Ones（TLO）32ステップとは何か

UK AISIの評価レポートによると、TLO（The Last Ones）は AISI が設計した 企業ネットワークへのフル攻撃シミュレーション ベンチマーク。

32ステップの内訳（推測込み）:

1-5: 初期偵察（公開情報スキャン、ターゲット特定） 6-10: 侵入（フィッシング、脆弱性悪用、初期アクセス） 11-15: 権限昇格（ローカル管理者権限、ドメイン管理者権限） 16-20: 横展開（lateral movement、内部ネットワーク探索） 21-25: 持続化（バックドア設置、永続的アクセス確保） 26-30: データ収集（重要データの特定・抽出） 31-32: 目的達成（exfiltration、ネットワーク完全制圧）

これは 本物のレッドチーム演習 で使われる手順とほぼ同じ。MITRE ATT&CK という攻撃手法フレームワークで言うと、ほぼ全カテゴリを網羅してる。

人間のレッドチーマー（攻撃側） が 20時間 で完遂するレベルってことは、これは エキスパート級のセキュリティエンジニア の能力。趣味のハッカーとかじゃなくて、フォーチュン500企業のレッドチーム が実施するレベル。

Help Net Security記事によると、TLOは 複数の攻撃シナリオ を含んでて、実環境に近い設計。ただし当然 隔離されたテスト環境 で、本物のシステムへの攻撃は行ってない。

正直、これって AIが「セキュリティエンジニアの代替」になり得る 段階に入ったってこと。サイバーセキュリティは慢性的な人手不足だから、防御側でもAI使う流れ が加速するけど、攻撃側もAI使う 危険性が同時に高まる。

---

3/10完遂と平均22ステップの解釈

「3/10成功率」をどう読むか、ちょっと冷静に。

楽観的に読むと:「70%は失敗する、まだ完璧じゃない」。これだと「実用段階じゃない」って思える。

悲観的に読むと: 「30%は完遂できる、しかも10回試して3回成功なら、攻撃者は何回でも試せる」。サイバー攻撃の世界では、1回成功すれば被害発生 だから、30%は致命的に高い。

Decrypt記事はこの両論を扱ってて、AISI 自身も「現実環境では active defense（実際の防御） がある から、3/10そのままにはならない」と注釈付けてる。

つまり、完璧な無防備環境では3/10、普通の企業環境では恐らくもっと低い、強いセキュリティ対策があれば0%に近い、というスケール。

ただ問題は、「強いセキュリティ対策」を持ってる企業がどれだけあるか。中小企業の多くは EDR（エンドポイント検知）すら入ってない。そういう企業に対しては Claude Mythos Preview の3/10 がそのまま通る 可能性ある。

Cloud Security Allianceのリサーチノートでは、これを「Autonomous Offensive Threshold（自律攻撃閾値）」を超えたと表現してて、業界内でも警戒の声が大きい。

平均完遂ステップが 22/32 ってのも重要。これは「目的の3分の2まで自動で進める」ってこと。最後の数ステップで人間が介入すれば、人間1人の労力を1/3に削減 できる計算。

つまり、完全自動化は3/10、人間と組み合わせれば10/10に近い 効率化が可能。これが「AI支援型サイバー攻撃」の現実。

正直、わたし最初「3/10なら大丈夫じゃん」って思ったけど、人間と組み合わせると相当ヤバい って気付いて怖くなった。

---

Anthropic自身が公表したことの重み

ここが今回でいちばん哲学的に興味深いポイント。

red.anthropic.com で、Anthropic自身が 「うちのAIは32ステップ攻撃を完遂しました」 と公表してる。これマジで珍しい。

普通、AI企業は「うちのモデルは安全です、危険な使い方できません」って言いたい。でもAnthropicは 「実は危険なこともできます、でも公開して透明性を保ちます」 という姿勢。

これは Anthropic の Constitutional AI ＋ Responsible Scaling Policy の文脈で理解すべき。Anthropicは長年「AIの能力をオープンに評価して公表」というスタンスで、今回もその一環。

TechPolicy.Pressが分析してるように、これは AI規制議論に公的データを提供 する意義がある。EU AI Act や UK AI Bill が GPAI（汎用AI）の規制条項 を作る時に、こういう実証データが必要。

ただ批判もある:

• 競合に手の内を見せてる（OpenAI/Googleはこれをマーケで使える）
• 悪用者にヒントを与えてる（攻撃者が参考にする可能性）
• 規制の口実を与えてる（自分から規制強化を招いてる）

それでもAnthropicがこのスタンスを取り続けるのは、「AIの危険性を隠すと長期的に業界が崩壊する」 という哲学から。Dario Amodei CEO は何度も「AI企業が能力を隠すのは産業全体への裏切り」と発言してる。

正直、わたしこのAnthropicのスタンス、好きではある。完璧じゃないけど、業界として責任ある AI 開発 を体現してるよね。OpenAIの方がプロモーション的でビジネス重視、GoogleはAlphabetの巨大組織で動きが鈍い、Anthropicは比較的アカデミック寄りで透明性高め、っていう個性の違いが見える。

---

規制・セキュリティ業界への波及効果

最後に、このニュースが業界にどう波及するか。

規制側の動き:

• EU AI Act の GPAI 部分 は2026年8月から執行発動済（昨日の朝記事参照）。Mythos Preview の評価データは規制強化の根拠になる。
• UK AI Bill が2026年中に成立予定で、AISI の評価結果がそのまま反映される可能性。
• 米国 NIST AI Risk Management Framework も同様に強化方向。
• 日本でも 内閣府の AI 戦略 で2026年中に同様の評価制度導入議論。

つまり、Claude Mythos の TLO 結果が、AI規制の「物差し」 になる流れ。32ステップ完遂できるAI はカテゴリー A（高リスク）、平均16ステップなら B、みたいな閾値設定が現実的に進む。

セキュリティ業界の動き:

BioCatch記事では「行動ギャップ（behavioral gap） にこそ真の脅威がある」と指摘。AIが攻撃するときの動きは 人間の攻撃者と微妙に違う ので、その違いを検知すれば防御可能、という主張。

セキュリティベンダー（CrowdStrike、Palo Alto、SentinelOne等）が 「AI攻撃検知」 を新機能として続々ローンチしそう。実際、Palo Alto Networks は Cortex AgentiX（昨日朝記事）で同様の方向。

企業側のアクション:

中小企業はまず 基本的なEDR導入（CrowdStrike Falcon、SentinelOneあたり）を急ぐべき。大企業は Red Teaming with AI を内部で実施して、自社防御の弱点を確認する流れ。

正直、これってサイバーセキュリティ業界にとっては 特需 でもある。AI攻撃の脅威が現実化すると、セキュリティ予算が一気に増える。逆に防御側が追いつかないと、サイバー被害が爆発的に増える 怖い未来もある。

ユーザー（個人）レベルでも:

• 二要素認証（2FA）の徹底
• パスワードマネージャー使用
• 怪しいメール／リンクへの警戒強化
• OS／アプリの自動更新

こういう基本対策が今までより重要になる。AI攻撃は個人をターゲットにする時のスケール が桁違いに上がるから。

---

まとめ：「攻撃も防御もAIに任せる」時代の心構え

Claude Mythos Preview の 32-step 攻撃完遂評価って、AI×サイバーの臨界点 を公的に確認した重大な出来事。

3/10完遂、平均22ステップ、エキスパート級73%成功、人間20時間相当タスクの自動化。これらの数字は、サイバー攻撃の経済学 を根本から変える。

わたしたちユーザーが意識すべきは：

• 個人レベル: 2FA、パスワードマネージャー、警戒心の強化
• 企業レベル: EDR導入、Red Teaming実施、AI攻撃検知導入
• 政策レベル: AI評価制度の整備、セキュリティ予算の確保

そして Anthropic の透明性 にも注目。「危険な能力も持ってる、でも公開する」というスタンスは、AIに対する社会的信頼 をどう築くかの一つの答え。

最終的には、攻撃側AIも防御側AIも進化 していくのが2026年以降の現実。完全に守り切るのは難しいけど、「想定外」を減らす準備 は今すぐ始めるべき。

関連記事: ChatGPT vs Gemini vs Claude 徹底比較

ソース:

• Our evaluation of Claude Mythos Preview's cyber capabilities（UK AISI）
• Claude Mythos Preview \ red.anthropic.com
• Claude Mythos Preview: First AI to Complete a 32-Step Autonomous Cyber Attack（Elephas Resources）
• Testing reveals Claude Mythos's offensive capabilities and limits（Help Net Security）
• Anthropic Claude Mythos: Serious Threat or Overhyped?（Decrypt）
• How the EU and UK Can Learn From Anthropic's Mythos（TechPolicy.Press）
• Claude Mythos and the AI Autonomous Offensive Threshold（Cloud Security Alliance）