欧州中央銀行（ECB）は26日、Anthropicの先端AIモデル「Claude Mythos」を巡るサイバーリスクへの警戒を強め、ユーロ圏の銀行を緊急招集する。会合では、セキュリティパッチの適用速度やAIを用いた攻撃への対応体制を点検し、脆弱性対応の迅速化を促す。

25日付のBeInCryptoによると、ECBは26日の会合で、銀行のパッチ適用のスピードとAI関連の脅威に対する運用体制を重点的に確認する方針だ。

背景にあるのは、先端AIがソフトウェアの脆弱性を見つけ出す速度と精度を急速に高めていることだ。ECB監督理事会の副議長フランク・エルデルソン氏は、銀行は従来よりもはるかに速いペースでパッチ対応を進める必要があると指摘した。

同氏は、攻撃者がパッチの内容を30分以内にリバースエンジニアリングできるようになっているとして、初動対応の一段の迅速化が不可欠だと述べた。

エルデルソン氏は、銀行業界と数年にわたって議論してきたサイバーセキュリティ上の課題そのものは変わっていないものの、AIの進展によって対応の速度を引き上げる必要があると強調した。英紙フィナンシャル・タイムズ（FT）のインタビューでは、「サイバーセキュリティ全般の課題は引き続き重要だが、AIの進展によって、より迅速に対処しなければならない」と語った。

さらに、「音楽用語で言えば、アンダンテでは不十分で、プレストで進まなければならない」とも述べた。

市場と監督当局が注視しているのは、「Claude Mythos Preview」の性能だ。Anthropicは4月、サイバーセキュリティ連合体「Project Glasswing」の限定プログラムのもとで同モデルを公開した。

英国AIセキュリティ研究所は、Mythos Previewが専門家レベルの「Capture The Flag（CTF）」課題の73%をクリアしたと発表した。この水準の成績を示したAIモデルは、2025年4月以前には存在しなかったとしている。

ソフトウェア業界でも影響は表れている。Mozillaは、Mythosが見つけた脆弱性を反映し、Firefox 150で271件のセキュリティ修正を実施した。これは従来のOpus 4.6を大きく上回る水準だという。

金融業界にとって、脆弱性検知技術の進展は防御力の向上につながり得る一方、攻撃者にも強力な手段を与えかねない点が懸念材料となっている。

ECBは現在、ユーロ圏の大手銀行111行を監督している。ただ、欧州の銀行の大半はProject Glasswingに参加しておらず、Mythosのような最先端のAIモデルに直接アクセスできない。

エルデルソン氏は、26日の会合に参加する米国の機関が、試験結果や運用経験をユーロ圏の銀行と共有することに期待を示した。同氏は、こうしたアクセス格差を「残念だ」としつつも、それを理由に対応を先送りすべきではないと強調した。

焦点となるのは、金融業界が先端AIによる新たな脆弱性の発見スピードに追いつけるかどうかだ。銀行がパッチ適用のサイクルを短縮できず、脆弱性公表後の初動を速められなければ、顧客資金の保護体制にかかる負荷は一段と高まる可能性がある。

ECBが今回の会合で重視するのは、技術そのものよりも、対応速度と運用体制の見直しだ。AIがセキュリティ環境を変えるスピードが増すなか、銀行のサイバー対応基準も見直しを迫られる可能性がある。