📖 この記事で分かること
Calif がClaude Mythos Previewで M5 の MIE をバイパスした経緯
攻撃に要したコストと期間、グレーマーケット価格との比較
「AI 単独で突破」ではなく「研究者 × AI」の成果という位置づけ
防御側コストと攻撃側コストの非対称性が露わになった意味
💡 知っておきたい用語
MIE:Apple が M5/A19 に搭載したメモリ整合性保護機構。メモリ16バイトごとに4ビットのタグを付け、ポインタと一致しないアクセスを遮断する仕組み
カーネル権限昇格:一般ユーザー権限から OS の中核(カーネル)を操作できる管理者権限に成り上がる攻撃手法
最終更新日: 2026年5月20日
セキュリティ研究組織 Calif が、Anthropic の Claude Mythos Preview(2026年5月時点)を用いて Apple M5 チップ搭載 Mac のカーネル権限昇格エクスプロイトを構築したと公表しました。バグ発見からエクスプロイトチェーン完成までおよそ5日、消費した Mythos API トークンは約3万5,000ドル相当とされます。同種のエクスプロイトはグレーマーケットで500万〜1,000万ドルで取引されるとも報じられており、AI 支援によるセキュリティ研究の経済性が一気に注目を集める形になりました。
Claude Mythos Previewの技術的背景やセキュリティ評価については、以下の記事で詳しく解説しています:
ただし Calif 自身が「人間の専門知識は不可欠だった」と明言しており、「AI が単独で Apple を突破した」という拡散ナラティブとは温度差があります。本記事では一次情報を整理しながら、何が起きたのか、何が起きていないのかを切り分けます。
エクスプロイトの概要——M5 の MIE を経由した root 取得
Calif が公開した内容によれば、対象は macOS 26.4.1 と Apple M5 ハードウェアの組み合わせです。エクスプロイトは「data-only kernel local privilege escalation chain」と分類されており、非特権ローカルユーザーから root シェルまで権限を引き上げる構成です。
技術的なポイントは MIE のバイパスにあります。MIE は ARM の Memory Tagging Extension をベースに、M5 と A19 チップで常時有効化されているメモリ安全機構で、16バイト単位のメモリスライスにタグを割り当ててポインタの整合性を強制します。Calif は単一の攻撃ベクトルではなく、複数のバグを連鎖させてメモリ破壊を成立させ、本来アクセスできない領域への到達を実現したと説明しています。
開発期間は4月下旬のバグ特定からエクスプロイトチェーン完成までおよそ5日。エクスプロイトの基本動作は「一般ユーザーがコマンドを実行すると root を取得できる」というシンプルなものです。Calif は Apple 本社を訪問し、55ページの技術レポートを5月14日に直接手渡したと報じられています。
コスト構造——3万5,000ドルと500万〜1,000万ドルの非対称性
今回の話題が広がった最大の理由は、攻撃側に必要なコストが劇的に下がって見える点です。Calif が消費した Mythos API トークンは約3万5,000ドル相当。グレーマーケットでは同クラスのエクスプロイトが500万〜1,000万ドルで取引されるとされ、桁にして2〜3桁の圧縮が起きていることになります。
参考までに Apple 自身のバグバウンティでは、ゼロクリック型のリモートエクスプロイトチェーンに対する最高報酬がベース200万ドル、ロックダウンモードのバイパスやベータ版での発見ボーナスを含めると最大500万ドル(2026年5月時点)に設定されています。攻撃側の制作コストと防御側の懸賞額が同じオーダーに接近していることが、業界の警戒感を強めている背景です。
なお「Apple の20億ドルのシステムを突破」という SNS 上の表現は、Apple バグバウンティの200万ドル(=$2M)を誤って「20億ドル」と読み替えた可能性が高い表現です。Apple が MIE 単体に20億ドルを投じたと公表した一次情報は確認できません。
「AI が単独で突破」ではない——研究者 × AI のペアリング
Calif は今回の成果について、Mythos Preview が脆弱性の特定とエクスプロイト開発を補助したものの、Apple の新しい MIE 保護をバイパスするには人間の専門知識が依然として必要だったと述べています。同社のコメントには「最良のモデルと専門家を組み合わせたとき何が可能になるか」を試したとあり、フルオートの AI ハッキングを謳ったものではありません。
この点は重要です。Claude Mythos Preview(2026年5月時点)自体が、Anthropic が Project Glasswing と名付けた限定アクセスプログラム経由でしか提供されていません。launch partner には AWS、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networks が含まれており、防御側と攻撃側の双方を内包する構造になっています。
Anthropic は Mythos のサイバーセキュリティ能力が「既存の自社モデルを大きく超える」とし、その能力ゆえに一般公開を保留しています。今回の Apple M5 事案は、こうした「過剰能力モデル」を限定リリースする方針が、現実のインパクトを伴って機能している事例として位置づけられます。
影響——「AI バグマゲドン」の予告編
Calif は今回の発表を「Month of AI-Discovered Bugs」というシリーズの一環として位置づけており、Linux の権限昇格、Windows の BitLocker バイパスといった他プラットフォームでの AI 支援脆弱性発表と連動しています。さらに Mozilla は内部テストで Mythos が Firefox に271件の脆弱性を発見したと報告し、英国 AI Security Institute は同モデルが多段階のサイバー攻撃シミュレーションを自律的に完遂しうると評価しています。
Calif の表現を借りれば「Apple は Mythos Preview 以前の世界で MIE を設計した。地球上で最良の緩和技術が、最初の AI バグマゲドンにどう耐えるかをこれから見届けることになる」というのが、業界に投げられた問いです。
実務的に影響を受けるのは、第一に脆弱性開示の慣行です。AI 支援によって発見・武器化の速度が上がると、従来の90日開示ルールが追いつかない局面が増えるとの指摘が出ています。第二に、ハードウェアベースの単一防御線(MIE のような構造)に依存する設計思想の再検討が促されます。Calif も「単一のハードウェア依存のガーディアンに頼らない、より弾力的なアーキテクチャ」を求める論調を打ち出しています。
Apple は脆弱性を Calif から事前に受領しており、ソフトウェアアップデートで対処すると報じられていますが、本記事執筆時点(2026年5月時点)でパッチ提供の有無は公表されていません。Calif も完全な技術レポートはパッチ配布後に公開する方針としています。
編集部の見方
経済性のシフト:数万ドルのトークン消費でカーネル権限昇格チェーンが構築できる事実は、ゼロデイ市場の前提を揺らします。グレーマーケット価格との3桁差が常態化すれば、ベンダー側のバグバウンティ予算設計、保険商品の前提、CISO の脅威モデルすべてに見直しが入ります。
「AI 単独」言説との距離:今回の成果はあくまで上位の人間研究者と上位の AI モデルを組み合わせた結果です。SNS で流通する「Claude が Apple を突破した」型の表現は、Calif 自身のコメントと矛盾します。AI に過大な自律性を読み込む報道に対して、編集部としては一次情報の表現に揃える立場を取ります。
Project Glasswing モデルの試金石:Anthropic は今回、能力の高いモデルを一般公開せずに限定パートナーへ供給するという、従来の API 公開モデルから外れた配布形態を取っています。今回の Apple 事案は、その配布形態が「先に防御側で使い倒される」設計として実際に機能しうるかの試金石でもあります。短期的にはうまく機能している側面がある一方、オープンソースモデルがキャッチアップした際にこの優位がどこまで持つかは未解決です。
誰に向く話題か:CISO、プロダクトセキュリティ責任者、脆弱性研究の意思決定層には直接関連します。エンドユーザーの即時リスクは限定的(Mac はサーバー用途が少なく、攻撃にはローカル実行が必要)であり、過度に煽る話ではありません。
残された論点
第一に、Mythos Preview 相当の能力がオープンソースモデルに到達する時期です。GLM-5.1 や Gemma 4 のような後発モデルがコーディング能力で接近しており、能力の閉じ込めには時限がある可能性があります。第二に、Calif 以外の研究グループが同種の発見をすでに行っている可能性です。公開ベースで観察できるのは氷山の一角にとどまります。第三に、Apple の対応速度と、今後の M シリーズ・A シリーズのセキュリティ設計にどのような構造変更が入るかです。これらの動きは今後数週間〜数か月で順次明らかになっていく見込みです。
よくある質問
Q: 今すぐ自分の Mac が危険にさらされていますか?
A: 一般ユーザーの即時リスクは限定的とされています。今回の攻撃はローカル実行を前提とするため、悪意あるバイナリを実行させる別の手段(フィッシング等)が必要です。とはいえ root 権限取得は重大な結果につながるため、Apple からのセキュリティアップデートが出た際は速やかに適用することが推奨されます。
Q: Claude Mythos は一般ユーザーが使えますか?
A: 使えません(2026年5月時点)。Anthropic は Project Glasswing と呼ぶ限定プログラム経由でのみ提供しており、AWS、Apple、Microsoft、Google、CrowdStrike を含む12の創設パートナーと約40の追加組織にアクセスが限定されています。価格は入力100万トークンあたり25ドル、出力125ドル(2026年5月時点)とされますが、価格にかかわらず外部からの新規申込窓口はありません。
Q: 「20億ドルのシステム」とは何の数字ですか?
A: 一次情報では確認できない表現です。SNS で拡散している「20億ドル(=$2B)」は、Apple のバグバウンティ最高報酬200万ドル($2M)の桁を取り違えた表現と推測されます。MIE の開発総額として Apple が公表した数字は確認できません。
まとめ
Calif による Apple M5 + MIE バイパスは、Claude Mythos Preview を活用した AI 支援セキュリティ研究の現実的な到達点を示しました。短期間・低コストでカーネル権限昇格チェーンを構築できたという事実は、ゼロデイ市場の経済性に構造的な圧力をかけます。一方で「AI 単独で突破」というナラティブは Calif 自身のコメントと整合せず、研究者と高性能モデルのペアリングが鍵だったことを押さえておく必要があります。Anthropic の Project Glasswing モデルがどこまで持つか、Apple がどう構造的に応答するかは、今後数か月の焦点です。
【用語解説】
Project Glasswing: Anthropic が Claude Mythos Preview を限定提供するためのプログラム。サイバーセキュリティ用途に絞り、12社の創設パートナーと約40の追加組織にアクセスを限定している
MIE(Memory Integrity Enforcement): Apple が M5/A19 チップに搭載した常時稼働のメモリ整合性保護機構。ARM の Memory Tagging Extension を活用してメモリ破壊型攻撃を抑止する
権限昇格【けんげんしょうかく】: 一般ユーザー権限から管理者権限(root)へ攻撃者が成り上がる手法の総称。今回の Calif の成果は data-only kernel local privilege escalation に分類される
引用元:
この記事について: AI 支援で執筆、編集部が事実確認・編集しています。誤りや追加情報があれば Contact よりお知らせください。
関連