インド証券規制当局、Anthropic の「Mythos」が犯罪に悪用される恐れから情報セキュリティの再点検を警告
インド証券取引委員会(SEBI)は、Anthropic の「Mythos」AI がセキュリティ脆弱性を発見し、それを悪用した大規模サイバー攻撃が勃発する可能性を警戒し、市場参加者に対し即座に情報セキュリティ体制の見直しと基本対策の強化を緊急指示している。
キーポイント
SEBI の緊急警告と指導
インドの証券規制当局である SEBI が、AI モデルによる大規模攻撃のリスクを踏まえ、市場参加者に対してセキュリティ戦略の見直しを直ちに求める通達を発した。
Anthropic の Mythos AI への懸念
記事では、Anthropic が開発したバグ発見 AI「Mythos」が新たな脆弱性を次々と特定し、それが犯罪者によって悪用されるシナリオを具体的な脅威として挙げている。
金融セクターへの実質的影響
株式市場の参加企業に対し、従来の防御策を見直し、サイバーセキュリティの基本事項(cyber-basics)を徹底するよう求めている。
影響分析・編集コメントを表示
影響分析
このニュースは、生成 AI がセキュリティ研究ツールとして機能する一方で、その能力が悪意あるアクターに転用される「二面性」を規制当局が明確に認識したことを示しています。特に金融セクターという重要インフラにおいて、AI 駆動型攻撃への備えが法的・実務的な優先事項へと急速に昇格している状況を反映しており、業界全体でセキュリティ投資と戦略の転換を迫る契機となります。
編集コメント
AI のセキュリティ強化機能が、逆に攻撃の触媒となるという皮肉なパラドックスが現実味を帯びており、企業は単なる防御ではなく、AI を活用した攻撃シミュレーションや対策も併せて検討する必要がある。
インド証券取引委員会(SEBI)は、Anthropic の脆弱性発見 AI「Mythos」がサイバー攻撃の連鎖を引き起こす可能性に備え、同国の株式市場関係者に対し、情報セキュリティシステムと運用を直ちに再検討するよう指示した。
同委員会は、米国の証券取引委員会(SEC)や英国の金融行動監視機構(FCA)に相当する機関である。火曜日、インドの規制当局は以下の見出しで始まる[勧告](https://www.sebi.gov.in/legal/circulars/may-2026/advisory-on-emerging-advanced-artificial-intelligence-ai-tools-for-vulnerability-detection_101270.html)を発出した。
これらの脅威に対応するため、委員会は「Mythos」のようなモデルがもたらすリスクの検討、脅威インテリジェンスの共有、事案の報告、および規制当局とその監督対象機関にソフトウェアを提供する第三者ベンダーのサイバーセキュリティ見直しを開始するタスクフォースを設立した。
その後、勧告では基本的な情報セキュリティ対策として、パッチの最新化、潜在的な脆弱性に関する監査の実施、API のインベントリ作成と保護、本格的なセキュリティ運用センター(SOC)の稼働とその助言の受容、ゼロトラストネットワークの原則の採用や必要最小限のサービスのみを実行することによるシステムの強化などを示した。
- 警察の潜入捜査でセクシャルハラスメントが発覚したことを受け、インド政府がTCSを調査中
- Red Hat が中国のエンジニアリングチームをインドへ移転(RHELocates)
- インドの宇宙プログラムは資金を十分に活用できず、ミッションが危険にさらされている
- インド政府、パキスタンに連関する CCTV 盗撮オペレーションを調査中
規制当局はまた、インドの株式市場参加者に対し、AI を活用した脆弱性検出モデルがもたらすリスクを軽減するための指針を IT 委員会が発行し、その後 AI を情報セキュリティ(infosec)の武器庫の一部として活用する計画を立てるよう指示しました。
「さらに、AI に加速された脅威に対するリスクの再調整、AI で強化された SOC(セキュリティオペレーションセンター)の変革、および AI ツールを用いた継続的な脆弱性管理など、他の措置も実施すること」と、勧告は述べています。
同委員会は上記の助言を、ベンチャーキャピタリストから商人銀行家、投資信託、株式取引所、さらに顧客情報(KYC)を保管する機関のようなニッチなサプライヤーに至るまで、19 の異なる企業クラスに対して行いました。
世界の他の規制当局もまた、Mythos がもたらすリスクを認識しています。米国のスコット・ベッセント財務長官は数週間前に国内の銀行と緊急会合を開催しました。シンガポールの規制当局も昨日同様の措置を取りました。オーストラリアの規制当局は、技術がもたらすリスクを考慮した AI 戦略の開発を必須とする「強い言葉」で地元の銀行に通知を送りました(strongly worded)。香港金融管理局は、Mythos の時代に向けた新たな情報セキュリティ(infosec)ガイドラインの策定に取り組んでいます。
インドのアプローチは、規制対象となる事業者に差し迫った脅威を効果的に警告し、問題を防ぐための行動を命じる点で際立っています。 ®
原文を表示
India’s Securities and Exchange Board has advised participants in the nation’s equities industry to immediately revisit their information security systems and practices, in case Anthropic’s Mythos bug-finding AI sparks a cyberattack spree.
The Board is India’s equivalent of the USA’s Securities and Exchange Commission, or the UK’s Financial Conduct Authority. On Tuesday, the Indian regulator issued an advisory that opens with the following observation:
In response to those threats, the Board has established a taskforce that will examine the risks posed by models like Mythos, share threat intelligence, report incidents, and initiate a review of cybersecurity at third-party software vendors who supply the regulator and the entities it oversees.
The advisory then offers some basic infosec advice: ensure patches are up to date, conduct audits of potential vulnerabilities, conduct inventories of APIs and secure them, run a serious SOC and take its advice, and harden systems by adopting principles such as zero-trust networking and running only essential services.
- Indian government investigating TCS after police sting finds sexual harassment
- Red Hat RHELocates its Chinese engineering team to India
- India's space program can't spend money fast enough, putting missions in peril
- Indian government probes CCTV espionage operation linked to Pakistan
The regulator also told participants in India’s equities markets to have their IT committees issue guidance on how to mitigate risks created by AI-led vulnerability detection models, then develop a plan to use AI as part of their infosec armoury.
“Also, undertake other measures including recalibration of risks for AI accelerated threats, AI-augmented SOC transformation, and continuous vulnerability management using AI tools,” the advisory states.
The Board directed the above advice at 19 different classes of company, ranging from venture capitalists to merchant bankers, mutual funds, stock exchanges, and even niche suppliers such as agencies that store know your customer information.
Other regulators around the world have also acknowledged the risks Mythos poses. US Treasury Secretary Scott Bessent convened an emergency meeting with the nation’s banks a few weeks back. Singaporean regulators did likewise, yesterday. Australian regulators sent local banks a strongly worded reminder that they must develop AI strategies that consider risks the technology creates. Hong Kong’s Monetary Authority is working on new infosec guidance for the age of Mythos.
India’s approach stands out for effectively putting entities it regulates on alert to an imminent threat and ordering them to take action to prevent problems. ®
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み