PC・スマホ利用で気をつけること
Claude Mythos Previewのような高度なAIモデルが表に出てきたことで、サイバーセキュリティの前提は大きく変わり始めています。
これまで専門家が時間をかけて行っていた脆弱性探索、コード解析、攻撃経路の検証といった作業が、AIによって高速化される可能性が高まっているためです。
本記事では、セキュリティコンサルタントやセキュリティ研究者の視点を踏まえながら、一般ネットユーザーがPCやスマホを使う際に、これから何を意識すべきかを実践的に整理します。
本記事で得られる3つのポイント
- AI時代には、個人ユーザーも「狙われる前提」でPC・スマホを使う必要がある。
- 最重要対策は、パスワード、MFA、パスキー、OS更新、バックアップの見直しである。
- 今後は「文章が自然だから本物」と判断せず、公式アプリ・公式サイトから確認する習慣が重要になる。
なぜ重要か:
AIによって攻撃の探索速度が上がると、古い端末、未更新アプリ、使い回しパスワード、安易なSMSリンク操作といった日常の小さな油断が、これまで以上に大きなリスクへ直結するためです。
AI時代のセキュリティは「自分には関係ない」では済まない
Anthropicは、Claude Mythos PreviewをProject Glasswingの一環として公表しています。
Project Glasswingは、重要ソフトウェアをAI時代に向けて保護する取り組みであり、Claude Mythos Previewはその中核となるフロンティアAIモデルとして位置づけられています。
参照URL:
https://www.anthropic.com/project/glasswing
Anthropicの技術解説では、Mythos Previewが高度なコンピューターセキュリティタスクに非常に強い能力を示し、非専門家でも高度な脆弱性の発見や悪用検証に近づける可能性があることが説明されています。
参照URL:
https://red.anthropic.com/2026/mythos-preview/
ここで重要なのは、Mythosそのものが一般公開されているかどうかだけではありません。
こうした能力が技術的に示された以上、今後は類似するツールやワークフローが、研究機関、企業、国家、攻撃者グループの間で増えていくと考えるのが自然です。
一般ユーザーにとっては、「自分は有名人ではないから大丈夫」という考え方を見直す必要があります。
攻撃者が狙うのは、あなた個人の名前や肩書きだけではありません。
メールアカウント、SNS、決済情報、スマホ内の認証情報、クラウドストレージ、ブラウザに保存されたCookieなどが狙われます。
攻撃者は「あなた個人」ではなく「使える入口」を探している
一般ユーザーが誤解しやすいのは、「自分には盗まれて困る情報はない」という考え方です。
しかし、攻撃者から見れば、一般ユーザーのPCやスマホは十分に価値があります。
| 狙われるもの | 悪用例 |
|---|---|
| メールアカウント | パスワードリセット、なりすまし、詐欺メール送信 |
| SNSアカウント | 乗っ取り、投資詐欺、知人へのDM詐欺 |
| スマホ本体 | 認証コード受信、決済アプリ悪用、本人確認の突破 |
| クラウドストレージ | 写真、仕事資料、個人情報の流出 |
| ブラウザ保存情報 | ログイン状態の奪取、Cookie窃取 |
| WordPress管理画面 | サイト改ざん、SEOスパム、フィッシングページ設置 |
現代のスマホは、財布、鍵、身分証、通帳、連絡網、本人確認装置をまとめた端末です。
落とすと痛いどころではなく、人生の操作権限を少し持っていかれる可能性があります。
これからの基本姿勢は「簡易版ゼロトラスト」である
企業セキュリティでは、ゼロトラストという考え方が一般化しています。
これは「社内だから安全」「一度ログインしたから安全」とは考えず、常に確認し続ける設計思想です。
一般ユーザーも、PCやスマホの操作において、簡易版ゼロトラストを取り入れるべきです。
| 従来の感覚 | これからの感覚 |
|---|---|
| 有名企業のロゴがあるから大丈夫 | URL、送信元、アプリ権限を確認する |
| 自然な日本語だから本物 | AIで自然な詐欺文面は作れると考える |
| SMS認証があるから安心 | SMSは補助的な防御と考える |
| ウイルス対策ソフトを入れているから大丈夫 | 更新、認証、権限、バックアップまで含めて守る |
| スマホはPCより安全 | スマホは本人確認の中核なので最重要資産と考える |
最重要対策1:パスワードからパスキーへ移行する
AI時代において、最も危険なのは弱いパスワードそのものよりも、パスワードの使い回しです。
一つのサービスから漏れたIDとパスワードが、別のサービスに自動で試される攻撃は、今後さらに効率化される可能性があります。
FIDO Allianceは、パスキーをパスワードに代わる認証技術として説明しており、パスキーはフィッシング耐性を持ち、パスワードの盗難や使い回しに起因するリスクを減らせるとしています。
参照URL:
https://fidoalliance.org/passkeys/
NCSCも、パスキーは従来のログイン方法より安全性と使いやすさの両面で優れた選択肢であると説明しています。
参照URL:
https://www.ncsc.gov.uk/blogs/passkeys-are-more-secure-than-traditional-ways-to-log-in
| 優先度 | 認証方式 | 評価 |
|---|---|---|
| 最優先 | パスキー | フィッシング耐性が高く、今後の標準候補 |
| 高 | 物理セキュリティキー | 高リスクユーザーや重要アカウントに有効 |
| 中 | 認証アプリによるMFA | SMSより望ましい |
| 低 | SMS認証 | 何もないより良いが過信は禁物 |
| 危険 | パスワードのみ | 重要アカウントでは避けるべき |
まず見直すべきアカウントは、Google、Apple、Microsoft、メインメール、銀行、証券、暗号資産取引所、Amazonや楽天などのECサイト、SNS、YouTube、WordPress管理画面です。
最重要対策2:多要素認証を重要アカウントで有効化する
NISTは、多要素認証を、ユーザー名とパスワードだけではなく、複数の要素で本人確認を行う重要なセキュリティ強化策として説明しています。
参照URL:
https://www.nist.gov/itl/smallbusinesscyber/guidance-topic/multi-factor-authentication
ただし、多要素認証にも強弱があります。
SMS認証は何も設定していない状態よりは良いものの、今後はパスキー、物理セキュリティキー、認証アプリを優先したいところです。
| MFA方式 | 推奨度 | 注意点 |
|---|---|---|
| パスキー | 高 | 対応サービスでは最優先 |
| 物理セキュリティキー | 高 | 紛失時に備えて予備キーを用意する |
| 認証アプリ | 中〜高 | 偽サイトにコードを入力しない |
| プッシュ通知承認 | 中 | 身に覚えのない承認通知は拒否する |
| SMS | 中〜低 | SIMスワップや転送リスクを意識する |
| メールコード | 中〜低 | メールアカウントが乗っ取られると弱い |
重要なのは、「認証コードが届いたから安全」ではなく、「自分が正しいサイトやアプリで操作しているか」を確認することです。
最重要対策3:OS・ブラウザ・アプリ更新を後回しにしない
AIによって脆弱性の発見や悪用準備が高速化されると、公開された脆弱性が攻撃に使われるまでの時間も短くなる可能性があります。
そのため、PCやスマホの更新を後回しにする習慣は、今後さらに危険になります。
Googleは、Android端末の設定画面からAndroidバージョン、セキュリティアップデート、Google Playシステムアップデートの状態を確認できると案内しています。
参照URL:
https://support.google.com/android/answer/7680439?hl=en
| 更新対象 | 理由 |
|---|---|
| iOS / Android | 端末全体の脆弱性修正 |
| Windows / macOS | OS権限昇格やブラウザ連携の脆弱性対策 |
| Chrome / Safari / Edge / Firefox | Web経由攻撃の入口になりやすい |
| LINE / WhatsApp / Signal | メッセージ経由の攻撃対象になりやすい |
| PDFリーダー | 添付ファイル攻撃に使われやすい |
| WordPress / プラグイン | 個人ブログや小規模サイトへの自動攻撃が多い |
| ルーター / NAS | 家庭内ネットワークの盲点になりやすい |
最重要対策4:スマホを「本人確認端末」として守る
今のスマホは、単なる通信端末ではありません。
SMS認証、認証アプリ、メール、決済アプリ、生体認証、写真、連絡先、クラウドストレージへの入口が集約されています。
つまりスマホは、攻撃者から見ると「本人になりすますための端末」です。
PC以上に慎重に扱うべき重要資産と考える必要があります。
| スマホ操作 | 意識すべきこと |
|---|---|
| アプリを入れる | 公式ストアから入れる |
| 権限を許可する | 連絡先、写真、位置情報が本当に必要か確認する |
| QRコードを読む | 開いたURLを確認する |
| SMSリンクを開く | 原則としてリンクから直接ログインしない |
| 公共Wi-Fiを使う | 金融、証券、管理画面の操作は避ける |
| 端末を売却する | 初期化とアカウント解除を確実に行う |
| 古い端末を使う | セキュリティ更新が続いているか確認する |
最重要対策5:アプリ権限を最小限にする
攻撃者は、必ずしもOS全体を完全に乗っ取る必要はありません。
連絡先、写真、位置情報、マイク、カメラ、通知、クリップボードなどの権限だけでも、悪用価値があります。
| 権限 | 悪用された場合のリスク |
|---|---|
| 連絡先 | 知人への詐欺、スパム拡散 |
| 写真 | 個人情報、位置情報、書類画像の流出 |
| 位置情報 | 行動パターンの把握 |
| マイク | 盗聴リスク |
| カメラ | プライバシー侵害 |
| 通知 | 認証コードやDM内容の露出 |
| クリップボード | コピーしたパスワードや暗号資産アドレスの窃取 |
| ファイルアクセス | 仕事資料、個人ファイルの流出 |
使っていないアプリは削除し、位置情報や写真へのアクセスは必要最小限にします。
無料アプリは無料ではありません。
代金の代わりに、データと注意力を差し出している場合があります。
ここは現代の年貢です。しかも米ではなく個人情報で納める時代です。
最重要対策6:ブラウザを用途別に分ける
ブラウザは、現代の攻撃入口です。
Webサイト、広告、拡張機能、ログインCookie、ダウンロードファイルが集中しています。
一般ユーザーでも、ブラウザやプロファイルを用途別に分けるだけでリスクを下げられます。
| 用途 | 推奨運用 |
|---|---|
| 金融・証券 | 専用ブラウザまたは専用プロファイル |
| WordPress管理 | 専用プロファイル |
| SNS | 通常プロファイル |
| 調査・買い物 | 別プロファイル |
| 怪しいリンク確認 | ログインしていない環境で確認 |
また、ブラウザ拡張機能は必要最小限にしてください。
「すべてのサイト上のデータを読み取り、変更する」権限を持つ拡張機能は、特に慎重に扱うべきです。
最重要対策7:バックアップを攻撃後の生命線として考える
セキュリティの専門家は、完全防御を前提にしません。
重要なのは、侵害されたときに復旧できることです。
| 対象 | バックアップ方法 |
|---|---|
| 写真・動画 | クラウド + 外付けSSD |
| 仕事資料 | クラウド + ローカルコピー |
| WordPress | データベース + wp-content |
| スマホ | iCloud / Googleバックアップ |
| パスワード管理 | 緊急アクセス、復旧コード保管 |
| 2FA復旧コード | 紙または暗号化保管 |
バックアップは、取るだけでは不十分です。
実際に復元できるかを確認して初めて、バックアップとして機能します。
生成AIサービスの利用でも情報を分ける
ChatGPT、Claude、Geminiなどの生成AIは便利ですが、入力する情報の扱いには注意が必要です。
AIに入力する情報は、外部サービスへ送信する情報であると考えるべきです。
| 入力を避ける情報 | 理由 |
|---|---|
| パスワード | 絶対に入力しない |
| APIキー | 悪用されると課金や侵害につながる |
| 秘密鍵 | 暗号資産やサーバー侵害につながる |
| 本人確認書類 | なりすましに悪用される可能性がある |
| 顧客情報 | 情報漏えいや契約違反につながる可能性がある |
| 社外秘資料 | 法務・コンプライアンス上のリスクがある |
| セキュリティ設定情報 | 攻撃者に有利な情報になり得る |
日常操作のセキュリティチェックリスト
毎日意識すること
- メール、SMS、DMのリンクを安易に開かない。
- ログイン前にURLとドメインを確認する。
- 身に覚えのない認証通知は拒否する。
- 添付ファイルを開く前に送信元と内容を確認する。
- 決済通知やカード利用通知を確認する。
毎週確認すること
- OS、ブラウザ、スマホの更新を確認する。
- 不要なアプリを削除する。
- アプリ権限を見直す。
- クレジットカード明細を確認する。
毎月確認すること
- 重要アカウントのMFA設定を確認する。
- パスワードの使い回しがないか確認する。
- バックアップが取れているか確認する。
- WordPress本体、テーマ、プラグインを更新する。
- ルーターやNASの更新状況を確認する。
高リスクユーザーは、さらに一段上の対策を検討する
経営者、フリーランス、クリエイター、投資家、開発者、WordPress運営者は、一般ユーザーよりも狙われた場合の被害が大きくなります。
| 追加対策 | 内容 |
|---|---|
| 物理セキュリティキー | Google、Apple、Microsoftなどの重要アカウントで利用する |
| 専用メール | 金融、管理画面、重要サービス用に分離する |
| 専用端末 | 金融・業務用と普段使いを分ける |
| SNS管理者権限の分離 | 個人アカウント一本化を避ける |
| WordPress WAF | 管理画面保護、ログイン制限、不正アクセス対策を行う |
| Lockdown Mode | 標的型攻撃が懸念される場合に検討する |
AppleはLockdown Modeについて、極めてまれで高度なサイバー攻撃から端末を保護するための任意の強力な保護機能として説明しています。
通常のユーザー全員に必要な機能ではありませんが、標的型攻撃が懸念される人には検討価値があります。
やってはいけない操作一覧
| NG行動 | 理由 |
|---|---|
| 同じパスワードを使い回す | 1件漏れると他サービスへ連鎖する |
| SMSリンクからログインする | 偽サイトへ誘導される可能性がある |
| 古いスマホを使い続ける | セキュリティ更新が切れると危険 |
| 不明アプリに全権限を渡す | 連絡先、写真、位置情報が抜かれる可能性がある |
| 認証コードを人に教える | 本物のサポート担当でも通常は不要 |
| フリーWi-Fiで金融操作をする | 偽Wi-Fiや中間者攻撃のリスクがある |
| 復旧コードをスクリーンショット保存する | 端末流出時に復旧手段まで奪われる |
まとめ:AI時代の個人セキュリティは「認証・更新・分離・復旧」が柱になる
Claude Mythos Previewの登場は、単なる新しいAIモデルの話ではありません。
AIがコードを読み、脆弱性を探し、悪用可能性を検証する時代が現実味を帯びてきたということです。
その影響は、企業や政府だけでなく、一般ユーザーのPCやスマホ操作にも波及します。
特に、古い端末、未更新アプリ、使い回しパスワード、安易なSMSリンク操作は、今後さらに危険になります。
| 柱 | やること |
|---|---|
| 認証 | パスキー、MFA、パスワード管理を整える |
| 更新 | OS、ブラウザ、アプリ、ルーターを最新に保つ |
| 分離 | 用途別メール、ブラウザ、端末、アカウントを分ける |
| 復旧 | バックアップ、復旧コード、緊急連絡手段を準備する |
最後に、一般ユーザーが最優先で取り組むべきことを並べると、次の順番になります。
- Google、Apple、Microsoft、メインメールにパスキーまたはMFAを設定する。
- OS、ブラウザ、スマホを常に最新にする。
- パスワードの使い回しをやめ、パスワード管理ツールを使う。
- 不要アプリ、不要拡張機能を削除する。
- 写真、動画、仕事資料、WordPressデータをバックアップする。
- SMS、メール、DMのリンクから直接ログインしない。
- 金融、SNS、ブログ管理は専用環境で扱う。
AI時代のセキュリティは、難しい専門用語を覚えることではありません。
日々の操作を少しだけ堅くすることです。
玄関に鍵をかける。
印鑑を金庫に入れる。
大事な書類は控えを取る。
昔からある当たり前の用心を、デジタル生活にも持ち込むだけです。
技術が進んでも、守りの基本は意外と古風です。
そして、その古風さがこれからのAI時代にはかなり効きます。
参照URL
- Anthropic Project Glasswing:
https://www.anthropic.com/project/glasswing - Anthropic Claude Mythos Preview:
https://red.anthropic.com/2026/mythos-preview/ - FIDO Alliance Passkeys:
https://fidoalliance.org/passkeys/ - NCSC Passkeys:
https://www.ncsc.gov.uk/blogs/passkeys-are-more-secure-than-traditional-ways-to-log-in - NIST Multi-Factor Authentication:
https://www.nist.gov/itl/smallbusinesscyber/guidance-topic/multi-factor-authentication - Google Android Update:
https://support.google.com/android/answer/7680439?hl=en - Apple Lockdown Mode:
https://support.apple.com/en-us/105120