2026年4月、Anthropic社が「強すぎて公開できないAI」として Claude Mythos を発表した話を、先日の記事でご紹介しました。今回はその続編として、Mythos の Xデー(脆弱性が公開される節目)がいつ来るのか、WordPress サイトを持つ中小企業に何が起きるのか、そして今からの5つの備えまでを整理します。
Mythos の Xデー カレンダー(90日+45日=135日サイクル)
Anthropic社は「責任ある開示」のポリシーとして、90日通知+45日パッチ後猶予=最大135日のサイクルで脆弱性情報を公開すると公式に宣言しています。
段階別に整理すると次のとおりです。
・〜2026年6月末:パートナー12社+Glasswing約40社が先に修正に着手する内部修正期間。一般には何も公開されません。
・90日(通知〜修正完了):Anthropic社がベンダー(プログラム開発者)に脆弱性を通知し、ベンダーが修正パッチを開発・公開する期間です。
・45日(修正後の追加猶予):ベンダーが脆弱性情報の詳細を非公開にできる追加猶予期限。ユーザーは公開された修正コミットを見てパッチを当てる時間に使い、攻撃者は修正コミットを逆解析して攻撃準備を始めます。
・135日(自動公開期限):Anthropic社が技術詳細とPoC(Proof of Concept = 攻撃の実演コード)を自動公開する期限。ハッカーが未パッチサイトへの一斉攻撃を開始します。
つまり、Mythos の世界規模での Xデーは2026年7月上旬〜9月に集中する見通しです。大手OSやブラウザの脆弱性が、この期間に順次表に出てきます。
本当の脅威は「実証されてしまった」こと
Mythos そのものは非公開なので、攻撃者の手に直接渡ることはありません。本当の脅威は、「AIで脆弱性を見つけられる」という事実が実証されてしまったことにあります。ここから連鎖的に7つの帰結が生まれます。
一つ目、Mythos が「AIで脆弱性を見つけられる」と実証してしまったこと。これは技術的な「証明」であり、後戻りはできません。
二つ目、OpenAI社のような高性能AIがアメリカ以外の国でも作れるようになっていること。中国の DeepSeek、フランスの Mistral、中国の Qwen など、世界各国に高性能LLM開発の能力が広がっています。
三つ目、Mythos は一般公開されませんが、学習が進めば国家支援型ハッカー集団がMythosの模倣を進めることが可能になります。論文や手法概要は学術界に流れ、半年〜1年で攻撃側の劣化版が出回ります。
四つ目、攻撃用AIは現状で月数万円から始まり、数年で月数千円まで下がる時代に入ること。すでにダークウェブでは WormGPT、FraudGPT といった攻撃特化型AIが月額制で売られ始めています。
五つ目、犯罪意欲さえあれば技術知識ゼロでもランサムウェアを実行可能になること。Ransomware-as-a-Service(RaaS)と攻撃AIの組み合わせで、攻撃の敷居が劇的に下がります。
六つ目、Mythos が使える政府や大手企業は守られるが、中小企業までは恩恵が届かないこと。Project Glasswing は大企業中心で、中小企業のWebサイトやサーバーは構造的に守備の外にあります。
七つ目、結論として、中小企業はAIハッカーから自分の身を自分で守らなくてはいけない時代に入ったということです。
WordPress は Mythos の直接攻撃を受けるのか
Mythos が直接 WordPress をターゲットにすることは無いでしょう。
Mythos の公式説明スコープは「主要OSとブラウザ」が中心で、WordPress やプラグインに広く手をかけた形跡は見当たりません。Glasswing 12社にも Automattic(WordPress開発元)は入っていません。Anthropic社側に「世界中の長尾プラグイン6万本」をスキャンするインセンティブも薄いので現実的ではないからです。
ただし、安心はできません。Mythos 自体は非公開でも、論文や手法の概要は学術界に流れます。攻撃者向けの劣化版が6〜18ヶ月で出回り、これが WP のような長尾エコシステム(プラグイン6万本)を総当たりスキャンし始めます。WordPress が世界の Web サイトの約4割を支えている以上、攻撃側AIの主要ターゲットになるのは時間の問題です。
Xデーは 2026年冬以降か
WordPress に対する本当の Xデーは、Mythos そのものではなく、「Mythos が開けた扉から、攻撃側AIが入ってくる時期」です。当社の感覚としては、2026年冬〜2027年前半が サイトに対するXデーになるのではないかと予想します。
このタイミングで、攻撃側AIが「WP脆弱性自動探索サービス」として地下市場で商品化され、月額制で誰でも借りられる状態が広がります。狙われるのは大手企業ではなく、修正が遅れがちな中小企業のサイトです。
「うちは金目のものが無いから関係ない」は通用しません
サイトをハッキングされた企業は「うちのサイトを狙う人なんていないでしょう」といいます。確かに直接お金を奪おうとしているのではなく、サイトを乗っ取られると、自社が「被害者」ではなく「加害者」になります。
具体的に起きることを挙げます。
一つ目、書き換えられて加害者になる。
ページを改ざんされて、詐欺情報やデマ、政治的メッセージを掲載するサイトに変えられます。閲覧した顧客が詐欺被害に遭えば、サイト所有者である自社にも責任が及びます。
二つ目、踏み台にされて加害者になる。
乗っ取られたサーバーから大量の迷惑メールが送られ、自社ドメインがブラックリストに載ります。結果として取引先への大事なメールが届かなくなります。また、攻撃プログラムを仕込まれて他社サイトへの攻撃拠点として使われ、Google検索エンジンから除外されることを沢山見てきました。
三つ目、サイバーリソースを盗まれる。
サーバーを仮想通貨のマイニング(採掘)拠点として使われ、サーバーがダウンしたり、従量制の場合はサーバー料金が跳ね上がることもあります。表向きはサイトが普通に動いていても、裏で他人のためにCPUを回し続けている状態です。
四つ目、情報漏洩。
個人情報やID・パスワードが盗まれます。ECサイトや会員サイトの場合は被害規模が桁違いに大きくなり、損害賠償・取引停止にもつながります。
中小企業が今やるべき5つの備え
技術的な難しいことから始める必要はありません。すぐに着手できる5つを、優先度順にお知らせします。
一つ目、全アカウントにMFA(二段階認証)を入れる。
ID窃取攻撃の99%はMFA導入で防げると、Microsoft社が公表しています。Google、Microsoft、各種SaaSはほぼ無料で設定可能です。半日〜1日で完了します。
二つ目、大事なデータの自動バックアップ+復旧テスト。
事業を止めない最後の砦です。取るだけでなく「戻せるか」をテストすることが大事です。テストせずに放置したバックアップは、いざというとき動かないことが多いです。
三つ目、WordPress・業務システムのプログラムアップデートを自動化する。
Mythos以降の世界では、脆弱性公開とパッチ配布の速度が今までとは桁違いになるでしょう。自動更新を有効にし、できない箇所は外部委託で対応する判断も必要です。
四つ目、「不審メール対応」の社内ルール作りと教育。
AIが生成するフィッシングメールは、日本語の違和感では見抜けなくなります。「判断に迷うメールは必ず誰かに相談する」というルールを書面で配り、疑わしい事例を社内で共有するルールも合わせて決めておきましょう。
五つ目、「攻撃されたら誰に連絡するか」の連絡先リストを作る。
インシデント対応の最初の30分が事業継続を左右します。社長・IT担当・外部の保守会社・警察・取引先窓口の連絡先を1枚にまとめ、紙でも保管しておくことです。攻撃時にはPCが使えない可能性もあります。
まずは経営トップがセキュリティの正しい認識を持つことから
これまでサイバー攻撃の被害は「やられてしまったね」という同情で済むこともありました。しかし、2026年からは、経産省が「サイバーセキュリティ経営ガイドライン」で経営者の指揮義務を明文化し、2026年度末には「SCS評価制度(セキュリティ対策評価制度)」が始まり、取引条件にセキュリティ対策状況が組み込まれていく流れです。
これからは、被害に遭ったとき周囲からは「そんなことあるの?」ではなく、「対策していなかったの?」になります。経営判断として優先度を上げていく必要があります。
技術論は不要です。経営者自身が正しい認識を持ち、社内の指揮を執ること。それが、すべての対策の出発点になります。
自社のWordPress / Webサイトやサーバーが今のままで大丈夫か気になる方は、お気軽にご相談ください。
参考文献・出典
- Mythos と Project Glasswing:Claude Mythos Preview(Anthropic公式) / Anthropic Project Glasswing / Coordinated vulnerability disclosure(Anthropic公式)
- Mythosの能力と影響:Claude Mythos: AI Finds, Exploits Vulnerabilities Faster(Wiz) / Anthropic’s Claude Mythos and What it Means for Security(ArmorCode)
- 経産省サイバーセキュリティ政策:サイバーセキュリティ経営ガイドライン(経産省) / SCS評価制度 制度構築方針(経産省 2026年3月)
- 中小企業対策ガイドライン:中小企業の情報セキュリティ対策ガイドライン第4.0版解説(LRM)
- 関連記事:公開できないAI「Claude Mythos」とは──中小企業のサイバーセキュリティに何が起きるか / 2026年版・経営者のためのAI用語ガイド
