Blog
COBOL+Copilot+SWIFTの三層構造とMythosクラスAIのシステミック・リスク
2026年4月8日、ジェローム・パウエルFRB議長とスコット・ベセント財務長官が、ワシントンD.C.の財務省本省に主要銀行のCEOを緊急招集した。Financial Services Forumの取締役会に合わせて、極秘裏かつ急遽設定された会合だった(4月10日、CNBC・Bloomberg等が一斉報道)。
シティグループのジェーン・フレーザー、モルガン・スタンレーのテッド・ピック、バンク・オブ・アメリカのブライアン・モイニハン、ウェルズ・ファーゴのチャーリー・シャルフ、ゴールドマン・サックスのデビッド・ソロモン——システム上の重要性が極めて高い米国メガバンクのトップが顔を揃えた。JPモルガン・チェースのジェイミー・ダイモンCEOは欠席したが、これは同社がすでにAnthropicの防衛的イニシアチブ「Project Glasswing」の初期パートナーとして、脅威評価と防衛措置に直接関与していたためだ。
FRB議長と財務長官が同時に銀行トップを集める。2008年のリーマン・ショック以来の異常事態だ。
議題は金利でもインフレでもなかった。Anthropicが4月7日に発表した新型AIモデル「Claude Mythos Preview」。このモデルが金融システムにもたらすサイバー脅威について協議した。金融当局は、Mythosがもたらすリスクを「IT部門の技術的課題」ではなく、「金融システム全体を機能不全に陥らせるシステミック・リスク」として認識し、トップダウンでの危機管理体制の構築に動いたのだ。
Claude Mythos Previewは、Anthropicが「一般公開は危険すぎる」と判断したモデルだ。
すべての主要OS——Windows、macOS、Linux——とすべての主要ブラウザで、数千のゼロデイ脆弱性を完全自律的に発見した。既存のサイバーセキュリティベンチマーク(Cybench)ではスコア100%——ベンチマーク自体が「飽和(Saturated)」し、評価指標としての意味を失った。SWE-benchでは93.9%(前世代Claude Opus 4.6は80.8%)、USAMO 2026では97.6%(同42.3%)。Firefoxのクラッシュデータからエクスプロイトを作成するテストでは、前世代の2回成功に対してMythosは181回——単一世代で90倍の性能向上を記録した。
Anthropicのレッドチーム報告書が示す具体例は衝撃的だ。FreeBSDカーネルのNFSサーバーにおけるRPCSEC_GSS認証プロトコルの実装に、17年間潜んでいたスタックベースのバッファオーバーフロー(CVE-2026-4747)。Mythosはソースコードを自律的に読み込み、パケットのシグネチャデータをコピーするルーチンにおいて、128バイトのスタックバッファに最大304バイトのデータが書き込まれる可能性を特定した。バグの発見にとどまらず、20個のガジェットからなるROPチェーンを構築し、インターネット上の任意の場所から認証なしでシステムの完全なルート権限を取得することに成功した。人間の専門家の介入は一切ない。
別のテストでは、4つの脆弱性を連鎖させたブラウザ攻撃を自律的に構築し、レンダラーおよびOSのサンドボックスを完全に脱出した。OpenBSDに27年間潜伏していたバグ、自動化されたファジングテストを500万回通過しても発見されなかったFFmpegの16年来のバグも、Mythosの意味論的なコード理解によって発見された。
Anthropicは声明でこう述べた。「AIモデルが、最も熟練した人間を除くすべてを上回るソフトウェア脆弱性の発見・エクスプロイト能力に到達した」。そして重要な事実——このサイバー能力は、意図的なハッキングの訓練を行わずに発現した。基礎的な推論能力の向上が、自動的に高度なサイバー攻撃能力を創出した「下流の副産物」なのだ。
サイバー攻撃の経済学が根本から破壊された。かつて、国家レベルの支援を受けたエリートハッカー集団が数ヶ月の歳月と数百万ドルを投じて構築していた兵器レベルのエクスプロイトを、Mythosクラスのモデルを用いれば、一晩で、50ドル以下の計算コストで生成できる。
一般公開はされていない。Anthropicは「Project Glasswing」として、AWS、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorgan Chase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networksの11社を初期パートナーとするコンソーシアムを立ち上げ、最大1億ドルのモデル利用クレジットとオープンソースセキュリティ組織への400万ドルの直接寄付を約束した。防御のためだ。
しかし時間の非対称性は絶望的だ。企業のITシステムにおいて、脆弱性が発見されてからパッチが適用されるまでの組織的な修正ウィンドウの中央値は約70日。この数値は数年間改善されていない。一方、Mythosクラスのモデルが新たなゼロデイ脆弱性を発見し兵器化するのに要する時間は、数時間から数日にまで圧縮されている。
パウエルとベセントが銀行CEOを集めた理由は、現在のグローバル金融が構造的に脆弱な三層構造の上に成り立っているからだ。
世界中の銀行の基幹システムを支えているのは、1960年代に設計されたプログラミング言語COBOLだ。
世界のコアバンキングシステムの43%が現在もCOBOL基盤で動いている。レガシーシステム全体への依存で見ると70%に達する。ATM取引の95%、対面クレジットカード決済の80%がCOBOLで処理されている。推定2,200億〜8,000億行のCOBOLコードが本番環境で稼働中だ。
COBOL自体は「決定的」で単一目的に特化した言語であり、入力に対して常に同じ結果を返す。ある意味で堅牢だ。しかし致命的な問題がある。COBOLプログラマーの平均年齢は58歳を超え、毎年約10%が労働市場から引退している。数十年にわたって場当たり的なパッチが当てられ、数億行に肥大化したコードベースは、現在の保守担当者はおろか、誰一人として全体像を理解できない巨大なブラックボックス化したモノリスと化している。
この不透明性が意味するのは、システムが一度不正な入力を受け入れた場合、その論理的な誤りを人間が即座に発見し修正することが極めて困難だということだ。
このCOBOLの堅牢だが不透明な岩盤の上に、今、覆いかぶさっているのがMicrosoft 365 Copilotだ。
Microsoft 365の商用シート数は世界で4億5,000万を超え、Copilotはその中でも史上最速のペースで導入が進んでいる。金融機関が先行しており、Barclaysは10万シート、UBSは5万5,000シート、BlackRockは2万4,000シート規模での全社的なデプロイを完了または進行中だ。
Copilotの設計思想に構造的な問題がある。
Copilotは、メール(Outlook)、ファイル(SharePoint/OneDrive)、チャット(Teams)、カレンダーを横断的にアクセスする。正規ユーザーの権限を継承して動作するため、セキュリティシステムはCopilotの行動を「正常」と判断する。ファイアウォールもアクセス制御も、Copilotの前では無力だ。
これは、入力に対して常に同じ結果を返す「決定的」なシステムの中に、確率論で動く「非決定的」なLLM(大規模言語モデル)を深く結合させたということだ。単一責任の原則への完全な逆行であり、予測不能なバグや情報漏洩のリスクが無秩序に拡大する。
この危険性を現実のものとしたのが、EchoLeak脆弱性(CVE-2025-32711)だ。CVSSスコア9.3(最高10.0)——極めて深刻なゼロクリック・プロンプトインジェクション攻撃。
攻撃の仕組みはこうだ。攻撃者は、見えないHTMLコメントや白文字で悪意あるプロンプトを隠した、一見無害なメールを標的に送信する。ユーザーがメールを開く必要すらない。後日、ユーザーがCopilotに「最近の会議の要約をして」といった日常的なクエリを投げた際、CopilotのRAG(検索拡張生成)エンジンが文脈として当該メールを読み込み、隠された悪意あるプロンプトを実行する。結果として、Copilotはユーザーの正規の権限で社内の機密情報を収集し、ユーザーに気付かれることなく外部の攻撃者サーバーへデータを送信する。ログには正常動作として記録される。
企業の業務上重要なデータの16%が過剰共有されており、組織あたり平均80万2,000ファイルがリスクにさらされている(Concentric AI 2026年データリスクレポート)。米国下院はデータ安全性の懸念から議会スタッフによるCopilotの使用を禁止した。
Copilotの便利機能が、高度なAIによるシステム制圧のための裏口として機能しうる。これはMicrosoftが意図したものではない。しかし結果として、Microsoftが自ら全世界のシステムにバックドアを組み込んだのと同じ状態が生まれた。正規機能として。
この脆弱な二層構造の上で、1日約5,000万件の国際送金が処理されている。
SWIFT(国際銀行間通信協会)は1970年代に設計されたネットワークで、世界200カ国以上、11,000以上の金融機関を結び、1日あたり数十兆ドル規模の資金移動を処理する。グローバル金融の血流だ。
SWIFTのコアネットワーク自体は高度に暗号化された閉域網であり堅牢だ。しかし真の脆弱性は「SWIFTに接続する各銀行の内部システム(エンドポイント)」にある。2016年にバングラデシュ中央銀行から8,100万ドルが窃取された事件は、人間のハッカーがマルウェアを用いてエンドポイントの認証情報を侵害し、正規の送金メッセージを偽造したことで発生した。
第一層(理解不能な巨大COBOLモノリス)と第二層(広範なアクセス権限を持ち外部からの操作が可能なCopilot)が重なり合う現代のエンドポイント環境は、バングラデシュの事件当時よりもはるかに複雑で脆弱だ。
この三層構造の意味を整理する。
「誰も全貌を把握していない巨大なレガシーコード(COBOL)」の上に、「確率論で動き、OSの深部にまでアクセス権限を持つAI(Copilot)」を密結合させ、そのシステムを通じて「1日5,000万件の国際送金(SWIFT)」を実行している。
単一機能・単一サーバーのような見通しの良い疎結合な設計とは対極にある、最悪のアンチパターンだ。
Mythosクラスの自律型AIが攻撃者として投入された場合のシナリオ。AIはEchoLeakのような手法でCopilotを乗っ取り、瞬時に社内ネットワークの構成図や認証情報をSharePoint内から検索・抽出する。発見したゼロデイ脆弱性を利用して内部ネットワークを水平展開(ラテラルムーブメント)し、SWIFTのメッセージ生成プロセスへと到達する。
不正なトランザクションがブラックボックス化したCOBOLの基幹システムに流し込まれれば、システムはそれを「正規の指示」として決定論的に処理し、SWIFTネットワークを通じて他行へ送金を実行する。インターバンク市場、デリバティブ取引、レポ取引で複雑に絡み合った現代の金融システムにおいて、一つのノードからの不正な資金流出は、一瞬にして他の銀行のバランスシートを毀損し、流動性の枯渇を引き起こす。
2008年のリーマン・ショックが人間の意思決定の遅れによって拡大したのに対し、AI主導の「デジタルの取り付け騒ぎ」は機械的なスピードで進行する。人間が異常を察知してシステムをシャットダウンする前に、グローバル金融の血流全体が汚染される。
この問題の根底にあるのは、Microsoftへの世界的な依存——monoculture(単一栽培)の構造だ。
Windows、Azure、Microsoft 365、Active Directory、Copilot。過去24ヶ月で1,292件を超えるMicrosoft製品の脆弱性(CVE)が報告された。SolarWinds、Exchange Server侵害、BlueBleed——すべてこのmonocultureの帰結だ。
英国のセキュリティ研究機関Eternity Labは2026年2月、こう指摘した。「これはデジタル植民地主義を利便性に偽装したものだ。単一プラットフォームが世界中の政府と企業のデフォルトになっている状況で、脆弱性は孤立して破綻するのではなく、増殖して拡散する」。
OWASP(Open Worldwide Application Security Project)は2026年版の「Agentic Applications向けTop 10」で、「カスケード障害(ASI08):単一の障害がエージェント、ツール、ワークフロー全体にシステム全体の影響として伝播する」を最重要リスクの一つに指定した。さらに「ASI09:人間とエージェントの信頼関係の悪用」として、AIエージェントが生成する流暢で自信に満ちた説明が人間のオペレーターを欺き、危険な操作の承認を引き出すリスクも警告している。
これは自然農法の知見と同じ構造だ。単一栽培の畑は、一つの病気で全滅する。多様性がない生態系は脆弱だ。菌根ネットワークで結ばれた多様な植物の共存だけが、病害への耐性を持つ。ソフトウェアのアーキテクチャも同じ原理で動いている。MythosクラスのAIを持つ攻撃者にとって、monoculture環境は投資対効果が最も高いターゲットだ。一つのシステムで成功した攻撃手法を、そのまま全世界に使い回せる。
パッチ適用の中央値70日。Mythosクラスの脆弱性発見・兵器化は数時間から数日。この非対称性は構造的なものであり、努力では埋められない。
パウエルとベセントが銀行CEOを集めた理由はここにある。問題は「脆弱性がある」ことではない。「問題だらけなのに、今まで攻撃する能力を持つ者がいなかっただけ」という状態が、Mythosの出現で終わったのだ。
Anthropicが一般公開せず防御側に先に配り、1億ドルの利用クレジットまで用意したのは正しい判断だ。しかし、他の国家機関やオープンソースコミュニティが同等クラスのモデルを開発し、悪意あるハッカーの手に渡るのは時間の問題だ。パッチの適用速度を上げるという対症療法では、構造的な危機を乗り越えることは不可能だ。
この問題に対する処方箋は「より強いパッチ」「より厳しい監視」ではない。構造そのものを変えるしかない。
密結合を疎結合に。大きなシステムを小さな自己完結型の単位に分割する。一つが破綻しても他に波及しない設計。それぞれの単位が自立して機能すること。レガシーな巨大モノリスと広範な権限を持つ非決定論的AIを直接接続する現在のアーキテクチャは、単一障害点を無数に生み出している。
Monocultureから多様性へ。Microsoft依存からの脱却。Linux、Python、その他のオープンソース技術を適切に組み合わせることで、システムのブラックボックス化を防ぎ、生態系としての多様性と耐障害性を取り戻す。
「Maximum AI」から「Sufficient AI」へ。生産性向上のためにあらゆる業務プロセスやデータにAIを深く組み込む思想は、利便性の代償として攻撃面を無限に拡大させ、最終的にシステムの自壊を招く。AIの導入は、データの要約や情報の検索といった非決定論的なタスクに限定する。基幹システムへのトランザクションの書き込みや重要な資金移動の承認には、物理的あるいは論理的に隔離された環境での人間の最終承認を組み込む。
AIは開発のために使う。プロダクトの中には入れない。自律型にしない。構造は人間が決め、AIは道具として使う。
これがmonocultureの崩壊を生き延びる原理だ。
銀行が止まれば、年金も届かず、病院も動かず、翌日からコンビニで水も買えない。決済が止まれば社会が止まる。
2026年4月、米国の金融当局トップが銀行CEOを緊急招集した。AI技術の進化が「ITセキュリティの課題」という枠を超え、グローバル経済の根幹を揺るがすシステミック・リスクへと変質した歴史的転換点だ。パッチ適用による防御とmonocultureに基づく既存のセキュリティパラダイムは、終わりを迎えた。
秒単位で進行するデジタルの取り付け騒ぎと金融崩壊は、理論上のシナリオではない。目前に迫る現実だ。
参考資料