Appleが5年・推定数十億ドル規模を投じて築いた防御を、わずか5日で突破——。 セキュリティ企業のCalifが、Anthropicの新モデル「Mythos Preview」を活用し、Appleのメモリ保護機構「MIE」をM5搭載Macで突破した経緯を、9to5Macが詳しく伝えています。AIと専門家の組み合わせがセキュリティ防御の前提をどう揺さぶるかを示す象徴的な事例です。
この記事に出てくる用語ミニ解説
- MIE(Memory Integrity Enforcement):Appleがハードウェア支援で構築したメモリ安全機構。iPhone 17・iPhone AirおよびM5搭載MacBookに展開
- MTE(Memory Tagging Extension):Armが2019年に策定した、メモリ破壊バグ検出を支援するハードウェア仕様。MIEの土台
- Mythos Preview:Anthropicが開発したAIモデル。今回の脆弱性発見・エクスプロイト開発を支援
5年かけたAppleの防御「MIE」とは何か
Appleが昨年発表したMemory Integrity Enforcement(MIE) は、ハードウェアを使ってメモリ破壊系の脆弱性を悪用しにくくする仕組みです。土台になっているのは、Armが2019年に策定したMemory Tagging Extension(MTE) の仕様です。
MTEはメモリ確保のたびに「秘密のタグ」を付け、後からそのメモリにアクセスする際に正しい秘密を持っているかをハードウェア側でチェックします。値が一致しなければアプリはクラッシュし、イベントがログに記録される設計です。
ただAppleは、特定の条件下でMTEだけでは十分堅牢ではないと判断し、独自にMIEへと拡張しました。iPhone 17・iPhone Airの全モデルに搭載されたあと、M5チップを採用したMacBookにも展開されています。Califによれば、Appleの研究では、MIEは最近流出したCoruna・Darkswordといったエクスプロイトキットを含め、現代のiOSに対する公開済みエクスプロイトチェーンすべてを無力化するとされています。
Appleは[MIEの構築に]5年を費やした。おそらく数十億ドル規模のコストもかかっただろう。
Califはブログ投稿でそう述べたうえで、その堅牢な防御をわずか5日で突破した経緯を公開しました。
わずか5日でM5を突破した経緯
CalifがM5向けのエクスプロイトを完成させた時系列は以下の通りです。
| 日付 | 出来事 |
|---|---|
| 4月25日 | Bruce Dang氏が脆弱性を発見 |
| 4月27日 | Dion Blazakis氏がCalifに合流 |
| 5月1日 | Josh Maine氏が構築したツールで実動エクスプロイトが完成 |
完成したのは、macOS 26.4.1(25E253) を標的にしたデータオンリー型のカーネルローカル権限昇格チェーンです。非特権ローカルユーザーから始まり、通常のシステムコールのみを使用し、最終的にrootシェルを獲得します。実装には2つの脆弱性と複数のテクニックを組み合わせており、カーネルMIEを有効化したベアメタルのM5ハードウェアを攻略対象としています。
公開された20秒の動画では、実際のカーネルメモリ破壊エクスプロイトが動作する様子が示されています。55ページにおよぶ詳細な技術レポートも用意されていますが、こちらはAppleが修正をリリースするまで公開されない方針です。
「Mythos Preview」が果たした役割と人間の専門性
Califは、AnthropicのMythos Previewが脆弱性発見からエクスプロイト開発の協調プロセス全体まで支援したと説明しています。
- 既知のバグクラスは高速で特定:Mythosは攻撃手法のパターンを一度学習すると、そのクラスのほぼあらゆる問題に汎化できるとされ、今回のバグも既知のクラスに属していたため発見が早かったといいます
- MIE回避には人間の専門性が必要:MIEは新しい最高水準の緩和策のため、自律的にバイパスするのは難しく、ここで人間の専門知識が活きたとCalifは指摘しています
- AIと専門家の組み合わせを検証する意図:今回の取り組みの動機の一つは、最良のモデルと専門家を組み合わせると何が可能になるかを試すことだったといいます
Califはこの発見を受けてApple Parkに招かれ、脆弱性研究レポートを直接Appleと共有したと述べています。さらに、AppleのMIEを含む現行の緩和策は「Mythos Preview以前の世界」で設計されたものだとし、小規模チームでもAIの助けで今回のような発見が可能になった今、「地上で最高の緩和技術が、最初のAI bugmageddon(AIによるバグの大量発生時代)でどう持ちこたえるかを我々はもうすぐ知ることになる」と表現しています。
一般ユーザーへの影響は限定的、注視すべきは次のアップデート
今回の出来事は、Appleの防御が「破られた」という単純な話ではありません。Calif自身も、MIEを自律的にバイパスするのはMythosでも難しく、人間の専門知識との組み合わせが鍵だったと明言しています。一方で、5年・推定数十億ドル規模の投資で築かれた防御に対し、AI支援を得た小チームが1週間以内に実動エクスプロイトを到達させたことは、防御側の前提を再考させる事例といえます。
技術レポートはAppleの修正提供後に公開予定とされており、現時点でこの脆弱性そのものを過度に心配する段階ではありません。AppleがmacOSの今後のセキュリティアップデートで何を修正してくるかが、当面の最大の注目ポイントになりそうです。
Mythos Previewが置かれた「Project Glasswing」という枠組み
今回のCalifによる発見は、Anthropicが立ち上げた防御目的のコンソーシアム「Project Glasswing」の文脈の中にあります。Anthropicはサイバーセキュリティ上の懸念からMythos Previewを一般提供せず、代わりに業界コンソーシアム「Project Glasswing」を発足させ、重要ソフトを構築・維持する組織に監視付きアクセスを付与しています。
規模と発見実績の裏付け
- Anthropicは最大1億ドル分のMythos Preview利用クレジットを提供し、Apache Software Foundationなどへの直接寄付も実施しています
- 同モデルのレッドチームは主要OS・主要ブラウザすべてで脆弱性を発見しており、その99%超は未パッチと報告されています
- 27年前から残存していたOpenBSDの欠陥や、FreeBSD NFSのRCE脆弱性「CVE-2026-4747」(17年前から潜伏していたバグ)を自律的に発見した実績も公表されています
Califの今回の事例も、こうした「公開前に世界の防御側を底上げする」という大枠の一環として位置づけられているのです。
業界・規制側の反応と「Mythos以前/以後」の境界
Mythos Previewの登場は、技術的な突破にとどまらず政策レベルの議論まで波及しています。Anthropicは初期リリースをApple、Amazon、JPMorgan Chase、Palo Alto Networksなど少数の米国企業に限定して悪用リスクを下げようとしましたが、この対応はTrump政権が将来モデルに対する新たな政府監督の導入を検討する動きにつながっています。
| 論点 | 立場・評価 |
|---|---|
| 限定リリースの目的 | 悪用リスク低減のための初期アクセス制限とされています |
| 政府監督の動き | Trump政権が将来モデルへの新たな監督枠組みを検討しています |
| 能力の独自性への疑問 | 公開モデルのオーケストレーションでも類似の結果が再現可能と指摘されています |
| 英AISIの評価 | 防御の弱い企業システムへの自律攻撃が可能と判定されています |
専門家からは「Mythos特有」とされる能力への疑問も出ており、既存の公開モデルを巧みに組み合わせることでMythosと類似の脆弱性発見を再現できているとの見方も示されています。Califの今回の成果は、実機の高度な防御に対するAI支援攻撃の現実性を示す数少ない検証例として、政策議論にも材料を提供することになります。
Q&A
Q. このエクスプロイトは一般のMacユーザーにも影響しますか? 標的はカーネルMIEを有効化したM5ハードウェア上のmacOS 26.4.1(25E253)で、エクスプロイトの詳細を含む55ページの技術レポートはAppleが修正をリリースするまで公開されない方針です。攻撃コードが出回っている状況ではありません。
Q. AIだけでセキュリティ防御は突破できるようになったのですか? Calif自身が「MIEは新しい最高水準の緩和策のため、自律的にバイパスするのは難しい」と述べており、今回も人間の専門家との協調が前提でした。Mythos Previewは既知のバグクラスの特定を高速化する一方、新しい緩和策の回避には専門知識が不可欠だった点が強調されています。
Q. Apple側はこの件をどう扱っていますか? CalifはApple Parkに招かれ、脆弱性研究レポートを直接Appleと共有したとしています。具体的な修正提供の時期は現時点で公表されていません。
出典
- 9to5Mac — Calif team details how Anthropic Mythos helped build a working macOS exploit in five days
- Anthropic — Project Glasswing
- CETaS (Alan Turing Institute) — Claude Mythos: What Does Anthropic's New Model Mean for the Future of Cybersecurity?
