金融庁・日銀、フロンティアAIの脆弱性大量発見に備え金融機関に9項目を要請
スマートフォンで銀行の残高を確認したり、証券口座をのぞいたりする操作は、ふだん何気なくやっています。そのアプリを支えるソフトウェアの弱点を、AIが短期間で大量に見つけられるようになりました。 金融庁と日本銀行は2026年5月22日、フロンティアAI(最先端クラスの高性能AIモデルの総称)による脆弱性の大量発見に備えた要請を金融機関向けにまとめました。項目は9つで、いずれも経営トップが直接動かなければならない内容が並んでいます。 🔍 AIが「弱点を見つける道具」として使われ始めた 脆弱性(ぜいじゃくせい)とは、ソフトウェアに潜む欠陥のことです。攻撃者に悪用されると、データの漏洩やシステムの停止につながります。これまでは人間の専門家がコードを丁寧に調べて見つけていました。 Anthropicが2026年5月22日に公開した「Project Glasswing」の初期報告があります。同社の高性能AIモデル「Claude Mythos Preview」を使ったテストで、約50のパートナー企業が重要ソフトウェアから1万件超の高・重大レベルの脆弱性を発見したと報告されています。 MozillaはMythos Previewを用いたFirefox 150のテストで271件の脆弱性を見つけ修正しました。Firefox 148でClaude Opus 4.6を使った場合と比べると、10倍超の件数になったとAnthropic記事内で紹介されています。CloudflareはMythos Previewにより重要システムで2,000件のバグを検出し、そのうち400件が高・重大レベルだったとも報告されています。 ⚙️ 「見つける」から「直す」へ——速さの問題が変わった なるほどと思ったのは、「ボトルネックは発見速度から修正速度に移った」というAnthropicの整理です。AIがどれほど速く弱点を見つけても、検証・開示・修正の体制が追いつかなければ、課題が積み上がるだけになります。 Anthropicの開示ダッシュボード(2026年5月22日時点)では、281のオープンソースプロジェクトに対して1,596件の脆弱性を開示済みです。パッチ(修正プログラム)が適用済みなのは97件で、開示件数に対して修正が追いついていない状態が数字に表れています。 金融庁と日銀は、Anthropicの取り組みを金融機関に直接導入させたいわけではありません。同種のAI能力が業界全体に広がったとき、銀行・証券・決済のシステムが発見された脆弱性を安全に処理しきれるかを問う内容になっています。 📋 経営・体制・技術の3層で組まれた9項目 今回の要請は、2026年4月24日の官民連携会議と5月14日の実務者レベルの作業部会を経てまとまりました。 経営の層では、トップが脆弱性対応に直接関与し、優先して守るべきシステムを特定することが求められています。長年放置されてきた古い構造(技術負債)の解消と、パッチ適用を担う人員の追加、委託先のベンダーとの契約内容の見直しも含まれます。 技術の層では、クラウド型WAF(Webアプリを守る防御装置)の導入とネットワーク分離が求められています。加えて、特権ID(システム管理者が持つ強い権限のアカウント)への多要素認証(パスワード以外の確認を足すログイン保護)の適用と、EDR(端末の不審な動きを検知・調査する仕組み)の整備も含まれています。 3層あわせて9項目。すべて「弱点が見つかってから修正が完了するまでの速さ」を底上げするための準備だ。 🏦 銀行アプリを見る視点が変わるかもしれない 今すぐ口座が危険になる話ではありません。ただ、金融機関がAI時代の脆弱性発見に備えて古いシステムを整理し、修正体制を整える段階に入ったことは確かです。 銀行やネット証券を使うとき、セキュリティの透明さを見る目安がいくつかあります。二要素認証(ログイン時にパスワード以外の確認を求める設定)を提供しているか、アプリの更新が定期的に来ているかどうか。 問題が起きたときの利用者向け案内の速さや、セキュリティ情報の公開状況も確認ポイントになります。こうした点は、今回の要請が問うている「修正体制の整備」と直接つながっています。 参考 ITmedia AI+ — 金融庁と日銀、「フロンティアAI」による脆弱性大量発見に備えた対応を金融機関に要請(https://www.itmedia.co.jp/aiplus/article/2605/25/2000000020/) Anthropic — Project Glasswing: An initial update(https://www.anthropic.com/research/glasswing-initial-update) Anthropic Frontier Red Team — Coordinated vulnerability disclosure dashboard(https://red.anthropic.com/2026/cvd/)