- Shadowserver Foundation (@Shadowserver) April 3, 2026 』
赤坂タロウの日記
Apr 16, 2026
Progress ShareFile にリモートコード実行可能な脆弱性
- Shadowserver Foundation (@Shadowserver) April 3, 2026 』
AIX、住信SBIネット銀行 .. 東京海上との比較
◆住信SBIのAIX◆
- 従来のDX: 人間が使いやすいようにボタンを配置した「
固定の画面」を作る。 - 住信SBIのAIX: AIとの対話に応じて、その瞬間に必要な
「振込画面」や「グラフ」をAIがその場で組み立てて提示する。 - 例えば、「先月のデビットの使いすぎを分析して、
残金から来月の家賃を引いた額を貯金用口座に移して」 と話しかければ、AIが分析グラフを生成し、 最適な振込実行ボタンをその場で作り出します。
- NEOBANK ai エージェント:
2026年2月からベータテストが開始されているこの機能は、 単なるチャットボットではなく、**「 銀行の操作権限を持ったAI部下」**です。 - 何ができるか: 自然言語(話し言葉)だけで、振込、残高確認、
デビットの利用制限設定、さらには「 割り勘したお金が全員から振り込まれたかの確認」といった、 これまで人間が手作業で画面をポチポチ操作していたことをすべて AIが肩代わりします。
- 理由: 従来の銀行の古いシステム(オンプレミス)は、
AIがアクセスするには「重すぎて」「固すぎる」のです。 - AIXとの関係: 全システムをクラウド(AWS)
に載せることで、AIが銀行の深部のデータ(勘定系データ) にミリ秒単位でアクセスし、即座に処理を実行できる**「 AIファーストな銀行」**へと肉体を改造したわけです。
特徴 | 東京海上(8766) | 住信SBIネット銀行(7163) |
主なAIX対象 | 事故査定・支払いの自動化 | 銀行操作・UIの自動生成 |
ユーザー体験 | 「事故対応の待ち時間がゼロになる」 | 「銀行アプリの操作そのものがなくなる」 |
戦略の肝 | 膨大な過去の損害データとAIの結合 | クラウド基盤(BaaS)と生成AIの融合 |
◆住信SBI、東京海上のAIXと競争優位性◆
- AIXの役割: 提携先が増えるほど、
本来は審査やサポートのコストが膨れ上がります。しかし、 AIエージェントがこれらを自律的に処理することで、**「 提携先が100社に増えても、銀行側の行員数は増やさない」** という究極のスケーラビリティ(拡張性)を実現します。 - 競争優位: 提携先企業にとっては「最も低コストで、
最も賢い銀行機能を自社アプリに組み込める」ため、 住信SBIがプラットフォーマーとして独走状態になります。
- AIXの役割: 2026年現在、
同行は膨大なデータを活用した**「AIスコアリング審査」** を極めています。通常、数日〜 数週間かかる住宅ローン審査を最短当日に短縮しつつ、 人間が見逃すような微細な不正・ デフォルトの兆候をAIが検知します。 - 競争優位: **「爆速で借りられるのに、
貸し倒れが極めて少ない」**という状態を作ることで、 他行が追随できない低金利(または高利回り)を提供し、 優良顧客を総取りします。
- AIXの役割:
勘定系システムのクラウド移行とAIエージェントの導入により、 預金残高や口座数が増えても、 システム維持費や人件費がほとんど増えない**「 限界費用がほぼゼロ」**の収益構造へ移行しています。 - 競争優位: 2026年度に掲げているROE 18%以上という目標は、一般的な銀行(5〜8%程度)
を圧倒しています。この高収益を原資に、 さらなるシステム投資や還元を行う「勝利のループ」 に入っています。
視点 | 東京海上 (8766) | 住信SBIネット銀行 (7163) |
競争優位の本質 | **「損をしない」**力の最大化 (精緻なプライシング) | **「コストをかけない」**力の最大化 (徹底した無人化・インフラ化) |
狙うポジション | リスクマネジメントの世界的権威 | 金融機能の黒子(OS) |
顧客のメリット | 事故が起きる前に防げる、安い保険 | 銀行を意識せず、勝手にお金が管理される |
AIX、東京海上
◆AIXとは◆
- ブラウザ版: 「この契約内容だと保険金はいくら?」と聞くと、
規約を読み取って「10万円です」と教えてくれる。 - AIエージェント: 「この事故の保険金を支払っておいて」
と頼むと、AIが自ら社内の顧客データベースを確認し、 支払い可否を判断し、送金システムを操作して振り込み手続きまで 完了させる。
- 基盤への組み込み: 東京海上の持つ膨大な過去の事故データ、
判例、顧客情報を、セキュアな環境でAIに直接学習( あるいは参照)させています。 - 効果: 「過去の似たような事故では、
過失割合はどう判断されたか?」といった、 その会社にしかできない高度な判断をAIが瞬時に行えるようにな ります。
例:大規模災害が発生した際
AIが自ら判断: 気象データから被害地域を特定。 AIが調査: その地域の契約者リストを抽出。 AIが実行: 契約者に「被害はありませんか?」と自動で連絡。 AIが処理: 返信があった写真(家の損壊など)を画像解析して損害額を算出し、査定に回す。
◆東京海上のAIX、統制設計◆
- 自動モニタリング: AIエージェントが「いつ、なぜ、
その判断をしたか」をリアルタイムで監視します。 - 異常検知: 過去のデータから大きく外れた判断(例:
不自然に高額な保険金査定)をAIがしようとした瞬間、 強制的にブレーキをかけ、人間の承認に回す仕組みです。
- 根拠の可視化: 保険金の支払い可否をAIが判定する際、必ず「
どの規約のどの文言に基づき、どの証拠写真から判断したか」 という根拠レポートを自動生成します。 - 人間による検証:
最終的な高額決済や異議申し立てがあった場合、 人間がこのレポートを読んで「AIのロジックが妥当か」 を即座に検証できる体制になっています。
- R-Mapによる評価: 独自のリスクマップを用いて、
AIが及ぼす影響を「安全性」「倫理」「法規制」 の観点から常にスコアリングしています。 - 第3者機関との連携: 2026年には「AI Security Conference」など、外部のセキュリティ企業(
DeNA等)や研究機関と連携し、自社のAIが「独走」 しないための客観的な基準(AIセーフティ) の策定にも関与しています。
「作業はAIが100%行うが、責任と最終判断の主導権は、常に『AIの動作を検証可能な状態にした人間』が持つ」
Apr 13, 2026
Claude いろいろ
Anthropic と Mozilla が協力し、Claude Opus 4.6 を利用して 2週間で 22個の Firefox の脆弱性を発見
『本記事では、Mozillaの研究者たちとの共同研究の詳細をご紹介します。 この研究において、Claude Opus 4.6は2週間の間に22件の脆弱性を発見しました。そのうち、 Mozillaは14件を「高深刻度」 の脆弱性として分類しました。これは、 2025年に修正されたFirefoxの高深刻度脆弱性のほぼ5 分の1に相当します。つまり、AIによって、 深刻なセキュリティ脆弱性を極めて高速に検出することが可能にな っているのです。』 以上 DeepLで翻訳
Anthropic が自社の AI モデルに対する蒸留攻撃について報告
『DeepSeek、Moonshot、MiniMaxという3つのAI研究所が、 自社のモデルを改良するためにClaudeの機能を不正に抽出し ようとする、 産業規模のキャンペーンを展開していたことが判明しました。 これらの研究所は、約24, 000の不正アカウントを通じてClaudeと1, 600万件以上のやり取りを行い、 当社の利用規約および地域ごとのアクセス制限に違反していました 。』
Anthropic が Claude Code のソースコードを誤ってリーク
『Claude code source code has been leaked via a map file in their npm registry!』— Chaofan Shou (@Fried_rice) March 31, 2026
- エージェントのロジック:
ターミナル上でClaudeがどのように考え、 どのような順序でコマンドを実行し、 エラー時にどうリトライするかという「思考プロセス」の設計図。 - ツールの実装: ファイル読み書き、Bashコマンドの実行、
Git操作、並列処理の制御など、 AIがPCを操作するための具体的なツール群。 - システムプロンプト: Claudeを「有能なエンジニア」
として振る舞わせるための膨大な指示セット( プロンプトエンジニアリングの極致)。
- LLM(大規模言語モデル)本体:最も重要な「脳」にあたるClaude 3.5 Sonnetや次世代モデルの重み(パラメータ)
はAnthropicのサーバー側にあります。 流出したのはあくまで「リモコン(CLI)」の設計図であり、「 エンジン(AI)」そのものではありません。 - バックエンドのインフラ:認証システム、安全性を担保するためのガードレール(
フィルタリング)、 サーバー側での最適化アルゴリズムなどは含まれていません。 - 学習データ:モデルがどのようにコーディングを学んだかというデータセットも
、当然ながら流出していません。
必要要素 | 内容 |
高性能な代替LLM | Claude 3.5クラス、あるいはそれ以上の推論能力を持つLLM( |
APIコスト/環境 | 流出したロジックは「大量のトークン」 |
プロンプトの適合化 | 漏洩したプロンプトはClaude専用に調整されているため、 |
Anthropic が Project Glasswing を発表
『本日、Amazon Web Services、Anthropic、Apple、Broadcom、Cisco、CrowdStrike、 Google、JPMorgan Chase、Linux Foundation、Microsoft、NVIDIA、 Palo Alto Networksが連携し、 世界で最も重要なソフトウェアのセキュリティ確保を目指す新たな 取り組み「Project Glasswing1」を発表いたします。』 by DeepL翻訳
Apr 12, 2026
記事の中立性、科学的正確さ、戦略とのバランス
Q.この記事の著者は中立的であると言えますか?
「国家戦略として安価な時にレアアースをたくさん仕入れ、
- 政府の狙い: 「南鳥島でレアアースが取れる」
と喧伝することで、中国に対して「 日本はいつでもあなた方と縁を切れる準備がある」というブラフ( はったり)を効かせ、価格交渉を有利にする。 - この記事の弊害: 専門家が「あんなの無理だ」
と断言してしまうことで、日本政府の持っていた「外交カード」 の裏側を中国に見せてしまい、交渉力を削いでしまうリスク( デメリット)。
- 供給元の独占: 安価なレアアースの供給源は、
現状ほぼ中国です。「10年分買う」 という行為自体が中国を潤し、かつ中国側が「 日本が買い溜めしている」と察知すれば、 輸出規制や価格吊り上げで対抗されるのは目に見えています。 - 技術革新のリスク: 10年分の備蓄をしている間に、
レアアースを使わない代替技術や、別の抽出法が確立された場合、 その備蓄は巨大な負債(デッドストック)に変わります。
- 著者側の論理: 「実現不可能な計画で国民を欺き、
予算を投じるのは国益に反する」 - 質問者様の論理: 「たとえ困難でも、
可能性があるフリをすることが対中交渉の武器(国益)になる」
Apr 11, 2026
Claude Mythosの衝撃
【完全解説】Claude Mythosの衝撃|Anthropic Glasswingと開発者への影響 (04/08)
をGeminiに要点まとめと内容の正確性を検証してもらった ↓
--------------------------------------------------------------------------------
この記事は、2026年4月7日にAnthropicが発表した最新AIモデル「Claude Mythos Preview」と、それに関連するセキュリティ・イニシアチブ「Project Glasswing」について解説したものです。
記事の要約(ポイント)
Claude Mythos Previewの正体
Anthropicが「史上最強」と自負する、未公開の汎用フロンティアモデル。
既存の「Opus 4.6」を大きく上回る推論・コーディング能力(SWE-bench Proで+24.4pt)を持つ。
セキュリティ専用モデルではないが、その極めて高い汎用能力の結果として、熟練の専門家を凌駕する脆弱性発見能力を示す。
Project Glasswing(プロジェクト・グラスウィング)
Apple、Google、Microsoft、AWS、Cisco、NVIDIAなど、業界の巨頭12社が参画する共同セキュリティプロジェクト。
目的: 悪意ある攻撃者がAIを利用する前に、AIの力で世界の重要インフラ(OSやブラウザ)の脆弱性を発見・修正すること。
透明性の象徴: 名前は翅(はね)が透明な「グラスウィング・バタフライ」に由来。
驚異的な実績(ゼロデイ脆弱性の発見)
OpenBSD: 27年間発見されなかったリモートクラッシュバグを自律的に発見。
FFmpeg: 16年間、500万回の自動テストを潜り抜けてきたバグを特定。
Linuxカーネル: 複数の脆弱性を連鎖させ、一般ユーザーから全権限を奪取する「エクスプロイト」を自律構築。
開発者への影響と展望
セキュリティの「時間軸」が崩壊(数ヶ月かかっていた解析が数分に)。
攻撃転用のリスクが高いため一般公開はされず、当面は特定パートナーへの限定提供となる。
開発者は「パッチ適用の高速化」と「AI支援型セキュリティツールの活用」が必須となる。
内容の正確性チェック
検索結果および最新の技術動向と照らし合わせた結果、この記事の内容は極めて正確です。
発表日とモデル名: 2026年4月7日の発表、および「Claude Mythos Preview」という名称は事実と一致します。
価格設定: 入力$25/1M、出力$125/1Mトークンという価格も公式発表通りです。
参画企業: 12社の主要メンバー(AWS, Apple, Google, Microsoft等)およびLinux/Apache財団への寄付(計$4M)も事実です。
ベンチマーク: 比較対象が「Opus 4.6」である点、および「CyberGym」や「SWE-bench」でのスコア差も正確に引用されています。
脆弱性の具体例: OpenBSDの27年越しのバグ、FFmpegの16年越しのバグといった、業界に衝撃を与えた具体的なエピソードも正確です。
結論
この記事は、現在進行中の非常に重要なAI・セキュリティ動向を、事実に基づいて非常に分かりやすく整理しています。特に「汎用能力の向上が、結果として専門領域(セキュリティ)のブレイクスルーを生んだ」という洞察は、今後のAI開発の方向性を示す重要な視点です。
[Image comparing performance of Claude Mythos vs Claude Opus 4.6 in cybersecurity tasks]