Claude Mythosがもたらすセキュリティビジネス激変の可能性 二極化していく“業界のこれから”（2/5 ページ）

[久松 剛，ITmedia]

バグバウンティーに影響　トップ層は守秘性の高いビジネスに移行か

　一連の影響を分かりやすく受けるのは、脆弱性懸賞金（バグバウンティー）ハンターの世界でしょう。ハンターの収入は、（1）正規の懸賞金プログラムへの報告報酬、（2）非公開市場での売却、（3）コンサルティングや講演──の3つに大別できます。

　AIスキャナーの普及は、このうち（1）の単価を確実に下げます。低〜中レベルの脆弱性は自動化により大量発見が可能になり、「先に見つけたもの勝ち」の競争が激化するからです。報告は増え、単価は下がる、典型的なコモディティ化が起こります。 一方で（2）と（3）の重要性は相対的に高まります。

　本当にクリティカルな脆弱性──特に複数の不具合を組み合わせる攻撃や、AIに頼ったコーディングで発生しやすい「モノカルチャー脆弱性」は、AIスキャナーだけでは現実的な攻撃シナリオにまで仕上がりにくい可能性があります。

　ここを最後に詰める作業には、依然としてビジネス文脈と環境を理解した人間の判断が必要になるはずです。そして、そのレベルの成果物は、正規の懸賞金プログラムに出すよりも非公開市場のほうが値段がつく構造になっています。

「Mythos超え」はすでに存在するかもしれない　公開情報と地下市場のギャップ

　もう一つ、技術そのものが表に出ない可能性にも目を向ける必要があります。脆弱性懸賞金ハンターの世界では、本当に良いスキャナーやゼロデイ脆弱性は原則として公開されません。経済合理性で考えれば当然で、公開した瞬間に対象企業が修正に動き、自分の取り分はゼロに近づきます。

　一方、非公開のまま大手セキュリティベンダーやブローカーに売却すれば、桁違いの収入になります。実際、筆者にも「自前で作ったスキャナーを大手に売れないか」という相談が持ち込まれたケースがあります。

　つまり、仮にMythosのような“表の最強”の情報やアクセスを抑えたところで、地下市場や個人のラボには、それと同等以上のものが既に存在している、もしくはこれから生まれる可能性が十分にあるといえます。AI時代に始まった話ではありませんが、AIによってツール開発のハードルが下がったぶん、状況はより加速しています。

　この経済学を踏まえると、「AIで脆弱性懸賞金ハンターは消える」という単純化は的外れで「裾野は薄くなる代わりに、トップ層は守秘性の高いビジネスに移行する」と読むほうが現実的でしょう。これは攻撃力の透明性が下がる方向の変化であり、防衛側にとってはむしろ厄介な変質です。

　そのため、各国の政府などで議論される「Mythosをどう牽制するか」という話題は出発点としては理解できますが、それだけで安全保障や産業政策を語ろうとするのは早計である点に注意が必要です。

　先述した安野氏の「初期アクセスを得る努力をすべき」という主張は、「攻撃力を国家が把握しておく」という意味では筋が通りますが、それで脅威を封じ込められるという話ではない、と分けて読む必要があるでしょう。

　余談ですが、Mythosが取り沙汰されている裏で、英国政府機関の評価レポートが「GPT-5.5のサイバー攻撃能力は一部でMythosを上回る」と公表しました。これは表に出ている情報の話で、公開ベンチマークでもMythos単独が頭抜けているわけではないことが分かります。