米大手銀行が、AnthropicのAIセキュリティツール「Mythos」で検出した脆弱性への対応を急いでいる。低〜中リスクに分類される問題でも、組み合わせ次第で被害が拡大する恐れがあるとして、パッチ適用やソフトウェア更新の前倒しに踏み切っている。

Finextraがロイター通信を引用して報じたところによると、Mythosを利用できる米大手銀行の一部は、数十件の脆弱性を確認した後、関連パッチの適用やソフトウェアアップグレードの日程を前倒しした。

銀行業界では、Mythosが低〜中リスクの脆弱性を数百〜数千件規模で検出しているという。このうち一部は単体では優先度が低く見えても、連鎖的に悪用されることで、より大きな被害につながる可能性があるとみられている。そのため、従来の段階的な改修では対応が追いつかないとの見方が出ている。

こうした大手銀行は、Mythosを利用できない小規模金融機関とも関連情報を共有している。他の金融機関でも同様の脆弱性を点検し、対応を進められるようにする狙いがある。

同様の警戒感はユーロ圏にも広がっている。欧州中央銀行（ECB）理事会メンバーのフランク・エルダーソン氏は、ユーロ圏の銀行に対し、Mythosや類似ツールを悪用したサイバー攻撃に備え、迅速に準備を進めるよう求めた。

エルダーソン氏は、こうしたツールへのアクセスがないことは対応の遅れを正当化する理由にはならないと強調した。「アクセス権がないことは言い訳にならない。むしろ銀行はより積極的に動くべきだ」と述べた。直接利用できなくても、脅威の構造そのものが変化している以上、既存のセキュリティ体制の見直しは避けられないとの認識を示した形だ。

銀行の負担は、レガシー環境の問題とも重なる。Mythosは、自社開発コードだけでなくオープンソースコードの脆弱性検出にも強みがあるとされる。このため銀行には、旧来の技術基盤やソフトウェアを従来以上のペースで置き換える、あるいは更新する圧力が強まっている。

特に、閉鎖的な社内システムに加え、外部のオープンソースコンポーネントまで点検対象が広がり、セキュリティ対応の範囲は一段と拡大している。

一方、対応の迅速化に伴う別のリスクも指摘されている。通常より速いペースでパッチ適用やアップグレードを進めれば、業務負荷の増大がサービス障害につながる可能性があるためだ。脆弱性を放置できない一方で、稼働中の金融サービスの安定性を損なわずに是正作業を進める必要がある。

米銀の対応は、単なる脆弱性修正にとどまらず、運用体制全体の見直しにも広がりつつある。低リスクの脆弱性でも、組み合わせ次第で攻撃経路になり得ることが明らかになったことで、銀行は個別のリスク評価ではなく、実際の悪用可能性を基準に優先順位を組み替えている。

今後の焦点は、大手銀行の是正対応が小規模金融機関へどの程度の速さで波及するか、またレガシーシステムの更新をサービスの安定運用と両立できるかに移りそうだ。