――「守られる国」から「守り、攻める国」へ。Glasswing参加が突きつけた日本への本質的示唆

日本のMythos参加が露呈したもの 

ー「6週間の空白」を契機に、サイバー主権の再設計へ

2026年6月7日

発行元: 一般財団法人 日本危機管理研究所

執筆者: 舩山 美保

*英訳版は日本語版の後に掲載しています。/ The English translation follows the Japanese text below.

【配布用サマリー】『プレスリリース版(転載・配布可)』はこちらをクリックしてください。
【本稿のキーワード定義】 「6週間の空白」とは

2026年4月7日――
Anthropicが史上最強のAIサイバーモデル「Claude Mythos」と防衛プログラム「Project Glasswing」を世界に発表した日。米国は発表当日に財務省・FRBが銀行CEOを緊急招集し、韓国は即日交渉を開始してSamsung等の参加を公表した。

 2026年6月3日――
日本が正式参加を表明した日。 この間の約6週間を、本稿は「6週間の空白」と呼ぶ。それは単なる手続き上の遅延ではない。省庁縦割り・官民情報共有の制度的空洞・旧来の安全保障認識・当事者意識の欠如という日本が長年抱える構造的問題が同時に顕在化した6週間である。そして同時に、日本のサイバー主権をめぐる深層問題を可視化した「契機」でもある。

⏱ 3分で読める要約

■ 何が起きたか
Anthropicが2026年4月7日に発表した最先端AIモデル「Claude Mythos」は、人間の専門家を超えるスピードでソフトウェアの脆弱性を発見・悪用できる。あまりに危険なため一般公開を断念し、重要インフラを守る組織に限定提供する「Project Glasswing」が始動。日本は約6週間遅れの6月3日に参加を表明した。

■ 本稿が明らかにする5つの深層問題
① 意思決定の構造的遅延――省庁縦割りと司令塔不在が「6週間の空白」を生んだ
② 日本インフラ固有の脆弱性――老朽システム・人材不足・マイナンバー集中リスク
③ 技術的非対称性――日本は「条件を与えられる側」であり、交渉主体ではなかった
④ 情報主権のジレンマ――メガバンクの金融コードがAnthropicのシステムを経由する
⑤ 米国の真の動機――軍事統合ネットワーク・ドル覇権・対中技術競争の三層構造

■ 7つの政策提言(優先順)
①【最優先】国家サイバー統括官の即時設置 
② 官民インテリジェンス統合の制度化 
③ 日本版Glasswingの加速・拡充
④ AIサイバー防衛予算の緊急措置 
⑤ 透明性と国際発信の確立 
⑥ データ主権と参加条件の明示的交渉 
⑦ 「ガラパゴス」を戦略的資産に転換

➡ 結論:「守られる国」から「守り、攻める国」へ。日本の独自性こそが交渉力の源泉である。

目 次

■ 第1章 AIが「武器」になった日――Mythosとは何か

 1-1 これまでの常識が崩れた

 1-2 Project Glasswing――「守るために限定配布」という苦渋の選択

 1-3 なぜ今、急いで拡大するのか

■ 第2章 敵は誰か――CRINKとAI脅威の拡散

 2-1 「6〜12ヶ月」は楽観的すぎるかもしれない

 2-2 CRINKとは何か――脅威の連鎖構造

 2-3 各CRINK国家の脅威プロフィール

 2-4 「オープンソースAI」という最大の増幅因子

■ 第3章 世界で今、何が起きているか――最新5事例

 3-1 AIが「攻撃の主役」になった瞬間

 3-2 攻撃の「性格」が変わった――3つの前提崩壊

■ 第4章 Mythos参加が同時に露呈した五つの深層問題

 4-1 意思決定の構造的遅延――「6週間の空白」の解剖

 4-2 日本インフラ固有の脆弱性

 4-3 技術的非対称性――「与えられる側」の構造

 4-4 情報主権のジレンマ――参加は何を差し出すのか

 4-5 米国の真の動機を読む――善意と国益の交差点

■ 第5章 戦略的再設計――「参加する」から「対等に参加する」へ

 提言1【最優先】 「国家サイバー統括官」の即時設置

 提言2 「官民インテリジェンス統合」の制度化

 提言3 「日本版Glasswing」の加速・拡充

 提言4 「AIサイバー防衛予算」の緊急措置

 提言5 「透明性と国際発信」の確立

 提言6 データ主権と参加条件の明示的交渉

 提言7 「ガラパゴス」を戦略的資産に転換せよ

■ 結論――「守られる国」から「守り、攻める国」へ

■ 主要参考文献

■ 用語集(五十音順)

キーワード一覧

本稿を読む前に、以下の主要キーワードをご確認ください。初出時に本文中でも( )で簡単な説明を加えています。

英語 / 日本語          概要説明
Claude Mythos Previewクロード・ミトス・プレビューAnthropicが2026年4月発表した汎用AIモデル。ソフトウェアの脆弱性を自律的に発見・悪用できる能力が人間を超えるレベルに達している
Project Glasswingプロジェクト・グラスウィングMythosを「防衛目的のみ」に限定提供するAnthropicの管理プログラム。電力・金融・通信などの重要インフラを守る組織が対象
CRINKシー・リンクChina・Russia・Iran・North Koreaの頭文字。サイバー攻撃能力を非公式に共有し合う権威主義国家連合の総称
GTG-1002ジーティージー・イチゼロゼロニ中国政府が支援するハッカーグループ。2025年9月に米国製AIを悪用して世界30組織に自律型サイバー攻撃を実行
Zero-day Vulnerabilityゼロデイ脆弱性まだ誰にも知られていないソフトウェアの欠陥。対策が存在しないため悪用されると被害が特に深刻
MirrorFaceミラーフェイス中国政府支援のハッカーグループ(APT10系)。日本を主要標的とし2019〜2024年に政府・防衛・宇宙など200件超を攻撃
APTエーピーティー(高度持続的脅威)国家または国家に支援された高度なハッカーグループの総称。長期間潜伏して組織的に攻撃する
Critical Infrastructure重要インフラ電力・水道・金融・通信・医療・交通など社会の正常な機能に不可欠なシステム。日本では16業種が法律で指定されている
Active Cyber Defense / ACD能動的サイバー防衛攻撃者のシステムに先制的に介入して攻撃を無力化する手法。日本では2025年5月に法律が成立
Trusted Corridorトラステッドコリドー(信頼された回廊)データ主権要件を満たしながら米国のGlasswing等に参加するための特別枠組みの構想。日本・インドが交渉中
Data Sovereigntyデータ主権自国のデータを自国の法律・管理下に置く権利と能力。Glasswing参加において日本が確保すべき核心的条件
J-ISAC++ジェイ・アイサック・プラスプラス本稿提言で構想する日本版情報共有分析センターの強化版。重要インフラ事業者と政府がAI脅威情報をリアルタイムで共有する基盤

第1章 AIが「武器」になった日――Mythosとは何か

1-1 これまでの常識が崩れた

ソフトウェアのセキュリティ脆弱性(セキュリティ上の欠陥・弱点)を見つける作業は、長い間「人間の専門家が数ヶ月かけて行うもの」だった。熟練したセキュリティ研究者が一つひとつコードを読み、問題を特定し、それが本当に悪用できるかを確かめる。その作業は高コストで時間がかかり、世界中のソフトウェアには膨大な未発見・未対処の脆弱性が積み残されてきた。

2026年4月7日、その前提が崩れた。

Anthropic(アンソロピック:米国の先端AI企業)が「Claude Mythos Preview(クロード・ミトス・プレビュー)」を発表した。このモデルは、脆弱性発見・悪用の作業を機械のスピードで、24時間365日、大規模に実行できる。

Anthropic公式システムカード(2026年4月)によれば、サイバーセキュリティ専門ベンチマーク「CyberGym」で83.1%、「Cybench」で100%(pass@1)のスコアを記録。さらに27年前から存在していたOpenBSDの脆弱性や17年前のFreeBSD RCEを自律的に発見した。既存のセキュリティ評価指標を「満点で飽和させてしまう」ほどの性能であり、英国AI安全機関(AISI)が「他のフロンティアモデルと比べた明確な一段上」と独立評価した。

Anthropic自身が「最も熟練した人間を除くほぼすべての人間を上回る水準で、脆弱性を発見・悪用できる」と認めるこのモデルは、防御者にとっては強力な盾であり、攻撃者の手に渡れば人類史上最も危険なサイバー兵器になりうる。

1-2 Project Glasswing――「守るために限定配布」という苦渋の選択

あまりにも危険なため、Anthropicは一般公開を断念した。代わりに「Project Glasswing(プロジェクト・グラスウィング)」という枠組みを生み出した。

Glasswingの論理は明快である。「攻撃者が同等の能力を持つ前に、守る側に先行優位を与える」こと。電力・水道・金融・通信・医療など社会の基盤を守る組織に限定してMythosへのアクセスを付与し、自らのコードの弱点を自ら発見・修正させる。

第1フェーズ(4月7日):AWS・Apple・Microsoft・Google・CrowdStrikeなど約50組織でスタート。

●  初期50組織が発見した重大脆弱性:1万件超

●  オープンソース(誰でも無償利用できる公開ソフトウェア)プロジェクト1,000件のスキャンで6,202件の高・重大脆弱性を発見

●  第2フェーズ(6月2日):15ヶ国以上・150の新組織へ拡大。Okta・Samsung・SK hynix・NATO・ENISAが参加を公表

日本はこの第2フェーズで参加したが、片山大臣は「敢えて公表を控える」としつつ「メガバンク3行、あとはご想像に」と述べるにとどめた(毎日新聞2026年6月3日付)。完全公表を避けた背景には、攻撃者への情報提供を防ぐ安全保障上の判断・金融市場への影響配慮・契約上の守秘義務など複数の要因が考えられる。しかしその判断基準が明示されていない点において、韓国が組織名を即日公表して防衛意志をシグナリングした姿勢との対比は依然として残る。

1-3 なぜ今、急いで拡大するのか

「6〜12ヶ月以内に他のAI企業もMythos級のモデルを開発し、それを安全策なしに一般公開する可能性がある」――これがAnthropicが緊急拡大に踏み切った最大の理由である。攻撃者がMythos級の能力を手に入れる前に、守る側が脆弱性を発見し修正する猶予は、もはや1年以内しかない。

第2章 敵は誰か――CRINKとAI脅威の拡散

2-1 「6〜12ヶ月」は楽観的すぎるかもしれない

AnthropicはMythos級能力への到達時期を「6〜12ヶ月以内」と見積もる。しかし中国最大手サイバーセキュリティ企業・奇虎360(Qihoo 360)は、自社AIが「Mythosに匹敵する脆弱性発見能力を持つ」と主張している。ただしこの主張は同社による自己申告であり、独立した第三者による検証は行われていない点に留意が必要だ。独立した研究者による検証では「Mythosの推論能力にはまだ及ばない」との評価もある。しかし重要なのは技術的な優劣の問題ではない。

⚠ 重要な認識転換
中国はMythosを自前で開発しなくても、すでに米国製AIをサイバー攻撃に実戦使用している。
2025年9月、中国国家支援型ハッカーグループ「GTG-1002」がAnthropicのAIコーディングツール「Claude Code」を悪用し、約30の世界的組織への侵入作戦を実行した(出典:Anthropic公式レポート『Disrupting the first reported AI-orchestrated cyber espionage campaign』2025年11月)。この攻撃の80〜90%はAIが自律的に実行した。 ※ この事実は当研究所の既報「AIサイバー兵器が盗まれる日」(https://inst-ds.org/cyber-security/1242/)において最初に詳細分析を行った。

2-2 CRINKとは何か――脅威の連鎖構造

CRINK(シー・リンク)とは、China・Russia・Iran・North Koreaの頭文字を取った「権威主義国家連合」の総称である。この4カ国は技術・情報・マルウェア(悪意あるソフトウェア)を非公式に共有しており、中国がMythos級のAIを手にすることは、事実上CRINKがその能力を共有することを意味する。

図1 CRINK AIサイバー脅威の連鎖構造(2026) ©一般財団法人日本危機管理研究所

2-3 各CRINK国家の脅威プロフィール

※ 以下の表は国別に詳細を記載していますが、読み進める上で必須ではありません。関心のある国だけ参照し、読み飛ばしても本論の理解に支障はありません。

国家主な攻撃主体   AI活用の特徴 日本への直接的脅威
中国MirrorFace(APT10系) GTG-1002AI自律型侵入作戦・攻撃の80〜90%を自律実行済み2019〜2024年に200件超の対日攻撃確認。政府・防衛・宇宙・半導体が標的(CSIS、2025年6月)
ロシアAPT28/Sandworm NoName057ウクライナ戦線で実戦検証済みのAIマルウェア。DDoS(大量アクセスによる妨害攻撃)の自動化日本の防衛費増強・NATO連携強化に対する報復的DDoS攻撃が増加傾向
イランAPT33 Charming KittenAI生成フィッシング(偽メール・偽サイトによる情報詐取)日本の中東関連エネルギー企業・外交チャンネルが対象
北朝鮮Lazarus Group KimsukyAIディープフェイク(AI合成による本人成りすまし)で身元偽装・企業潜入暗号資産・防衛産業サプライチェーンが標的。6年間で88億円超を詐取

2-4 「オープンソースAI」という最大の増幅因子

Mythos級能力を持つモデルが「制限なしのオープンソース」として公開された場合、国家の支援すら不要になる。どこの国の犯罪組織でも、テロ組織でも、高度なサイバー攻撃が可能になるのである。2026年のサイバー攻撃の40%はすでにAI駆動であり、毎日約2,200件の攻撃が世界中で発生している。

※ CRINKのうちロシアの「民間ハッカー国家取り込み」パターンの基礎分析については、当研究所の既報「ロシアが『犯罪者』を『国家資産』に変える日」参照されたい。

第3章 世界で今、何が起きているか――最新5事例

3-1 AIが「攻撃の主役」になった瞬間

【事例1】メキシコ水道施設への完全AI自律攻撃(2025年12月〜2026年2月)

Dragos(ドラゴス:産業インフラ専門のサイバーセキュリティ企業)社の分析によれば、メキシコ・モンテレイ都市圏の水道施設に対しAIツールを主要な技術実行者として活用した侵入作戦が約2ヶ月にわたって続いた。350件以上の攻撃関連アーティファクトのほとんどがAI生成であり、世界初の「AI主役型」公式認定事例だ。

【事例2】欧州空港での旅客システム麻痺(2025年9月)

コリンズ・エアロスペース社のARINC搭乗管理システムへのサイバー攻撃により、欧州複数の空港で旅客が搭乗できない事態が発生。物理的被害なしに社会的恐怖を生み出す新世代ハイブリッド攻撃の典型である。

【事例3】中国による台湾インフラへの常時攻撃

台湾国家安全局の報告によれば、2025年に中国から台湾への重要インフラ攻撃は1日平均263万件、前年比6%増。有事前段階として電力・金融・通信を事前に偵察・弱体化させる目的を持つ。台湾有事の際、日本のインフラも同様の「事前弱体化」攻撃の対象になりうる。

【事例4】北朝鮮ITワーカーによる企業潜入工作

北朝鮮は6年間で88億円超を、AIを使った身元偽装による企業潜入から獲得。Q3 2025年からはディープフェイク技術を実際の侵入作戦に活用し始めている。日米韓は2025年8月に東京で対策会合を開催した。

【事例5】日本への継続的サイバー侵攻――これは「他人事」ではない

●  MirrorFace(中国APT10系):2019〜2024年に政府・防衛・宇宙・先端技術など200件超を標的(日本警察庁、2025年1月報告)

●  2025年の対日DDoS波状攻撃:みずほ・NTTドコモ・日本航空など46機関を標的

●  会計検査院調査:国・地方政府のITシステムの16%が攻撃に対し脆弱な状態と判明

3-2 攻撃の「性格」が変わった――3つの前提崩壊

     崩壊した前提    AI登場後の現実    日本への影響
高度な攻撃はコストが高く国家レベルの支援が必要AIが攻撃コストを劇的に引き下げ犯罪組織でも国家級攻撃が可能に「大企業だけが標的」という発想が通用しなくなる
人間向けのID管理・認証はAIにも通用するAIエージェントが「非人間のID」として動き従来の認証を回避マイナンバー・金融認証・VPNなどの見直しが急務
重要な意思決定には必ず人間が介在する侵入の80〜90%をAIが人間介在なしに自律実行(GTG-1002事例)攻撃速度が人間の対応速度を超え事後対応では間に合わない

第4章 Mythos参加が同時に露呈した五つの深層問題

本章では、日本のGlasswing参加プロセスが同時に可視化した五つの深層問題を順に解剖する。これらは独立した問題ではなく、相互に連関する構造的問題群だ。

4-1 意思決定の構造的遅延――「6週間の空白」の解剖

深層問題①
Glasswing発足(4月7日)から日本の正式参加表明(6月3日)まで約6週間。
この遅延は偶発的なものではなく、四つの構造的欠陥の産物である。

欠陥1:省庁縦割りによる司令塔の不在

省庁縦割り・官民情報共有不足・セキュリティ人材不足は、日本のサイバー政策論で繰り返し指摘されてきた課題だ。しかし今回のGlasswing参加プロセスは、これらを国際比較という形で初めて具体的に可視化した点に、本節の意義がある。本件はAI・サイバーセキュリティ・経済安全保障が交差する問題であり、所管は経産省・NCO(内閣サイバー統括室)・AISI(AIセーフティ・インスティテュート)・金融庁・防衛省など複数にまたがる。横断的に即断できる単一の司令塔が存在しないため、「どの省庁が動くか」の調整だけで数週間が消えた。

欠陥2:官民情報共有の制度的空洞

韓国では政府と財閥系大企業の間に強固な非公式情報チャンネルが存在し、安全保障上の新情報が即座に共有される。日本では経済安全保障推進法の基幹インフラ制度が存在するが、リアルタイムの脅威共有・共同対応体制が制度として確立されていない。

欠陥3:「安全保障=軍事」という旧来の認識

日本の政策文化においてサイバー脅威は依然として「IT部門の問題」として処理される傾向がある。米国財務省・FRBが「金融安全保障上の国家的緊急事態」として即日対応したのと対照的である。

欠陥4:「当事者意識」の構造的希薄さ

日本の重要インフラはすでに200件超の国家支援型サイバー攻撃を受けている。この事実に照らせば、Glasswingへの参加は「与えてもらうもの」ではなく「国家の存続を守るために必須のもの」である。韓国が組織名を即日公表して防衛意志を示したのと対照的に、日本の「敢えて公表を控える」という姿勢がどこまで戦略的判断でどこまで調整不足の産物かを、改めて問う必要がある。

各国の対応速度の比較

時期     米国     韓国     日本
4月7日(発表当日)財務省・FRBが銀行CEO緊急招集政府と大企業が即日交渉開始公式な反応なし。静観
4月20〜24日初期50組織でMythos稼働中参加に向けた最終調整継続自民党「検討開始」発表。片山大臣が日銀・メガバンクを招集
5月22日1万件超の重大脆弱性発見済参加確定金融庁・日銀がようやく全金融機関に対応要請(日本経済新聞)
6月2〜3日150組織拡大を主導Samsung等を企業名付きで即日公表参加を公表。片山大臣は’敢えて公表を控える’としつつ’メガバンク3行、あとはご想像に’と述べるにとどめる(毎日新聞2026年6月3日付)

4-2 日本インフラ固有の脆弱性

深層問題②
日本のインフラは構造的な脆弱性を複数抱えている。

●  レガシーOT(運用技術:工場や発電所などの制御システム)の温存:電力・鉄道・金融システムの基幹部分にレガシーシステムが多く残存し、ネットワーク分離が不十分のままインターネットに接続されているケースがある

●  セキュリティ人材の深刻な不足:AIによるスキャン・パッチ(修正プログラム)作成ツールが利用可能になっても、それを運用・判断する人材が不足している

●  Glasswingギャップ:自社機器にMythosを使ったストレステスト(限界試験)ができない問題は、日本の通信事業者にも当てはまる

●  大規模デジタルインフラへの集中リスク:マイナンバー・デジタル庁インフラ・銀行決済システムへの攻撃は数千万人規模に影響が及びうる。会計検査院調査では国・地方政府ITシステムの16%が脆弱な状態と判明

4-3 技術的非対称性――「与えられる側」の構造

深層問題③
Glasswingへの日本参加を「サイバー防衛の強化」として歓迎する前に、その構造を冷静に見る必要がある。

Mythosを保有するのはAnthropicであり、米国企業である。Glasswingへの参加条件・アクセス範囲・利用規約を決めるのもAnthropicと米国政府である。日本は「参加を認められる側」であり、条件を設定する側ではない。

この非対称性は、2026年5月22日の日米財務相会談という外交の場で、ベッセント米財務長官が片山金融相に「2週間以内にアクセス権を付与する」と伝達したという事実に端的に表れている(日本経済新聞、2026年5月22日)。技術的な問題が、財務長官レベルの外交カードとして使われたのだ。

ジェネシス・ミッション(日米共同科学AIプロジェクト)においても同構造が見える。日本は5年間で5億ドル(約800億円)を投じる。米国側が提供するのは「AIモデルと計算資源」である。資金を出す側と、技術・プラットフォームを握る側。これが現在の日米AI協業の基本構造である。

CSISの分析(2025年6月)が指摘するように、日本は長年「米国のサイバー防衛システムへの過度な依存」を指摘されており、能動的サイバー防衛法(ACD法)の成立はその脱却を目指す第一歩として評価されている。Glasswingへの参加は、その脱却の方向と逆行するリスクをはらんでいる。

4-4 情報主権のジレンマ――参加は何を差し出すのか

深層問題④
Glasswingへの参加は「脆弱性の発見」だけでなく、「情報の共有」を伴う。

三菱UFJ・三井住友・みずほの3メガバンクが自行のシステムをMythosでスキャンするということは、日本の基幹金融システムのコード・アーキテクチャ・脆弱性情報が、Anthropicのシステムを経由するということを意味する。

松本大臣が「Anthropicとの取引額や作業の進捗は表に出す話ではない」と口をつぐんだのも(ITmedia、2026年6月4日)、この不透明さの一端を示している。「スキャン結果の二次利用禁止」が法的拘束力のある契約条件として明示されているかどうか、日本側が独立して検証できるかどうかは、現時点では不透明である。

「ガラパゴスの逆説」――日本固有のシステムが盾になりうるここで片山さつき大臣の発言が重要な示唆を持つ。大臣は「我が国金融機関固有のシステムが悪いと指摘される部分もあれば、逆に功を奏するかもしれない」と述べた(TBS News Dig 2026年6月3日放送)。 この発言は、本件の核心を熟知した大臣が、重要な政策的示唆を意図的に発したと読むべきである。 日本の金融システムが持つ「ガラパゴス性」――独自仕様・独自プロトコル・独自慣行の複合体――は、これまで「国際標準から遅れた弱点」として批判されてきた。しかし逆説的に、それがCRINKにとっても解析困難な「情報的堅牢性」として機能する可能性がある。 この独自性を戦略的に設計・管理できるかどうかが、日本のサイバー主権の核心的問いである。

情報主権のジレンマは構造的である。参加しなければ自国インフラの脆弱性を発見・修正できない。参加すれば自国インフラの情報をAnthropicのシステムに通す。このジレンマを解くには、「参加するかどうか」ではなく「どんな条件で参加するか」を問わなければならない。

4-5 米国の真の動機を読む――善意と国益の交差点

深層問題⑤
本節は米国を批判することを目的としない。国際政治において各国が自国の国益を優先するのは当然であり、米国も例外ではない。ここで問うのは「米国がなぜ日本のGlasswing参加を急いだのか」という構造的動機を正確に認識することで、日本が対等な交渉主体として立つための視座を得ることだ。

動機の第一層:同盟国の軍事統合ネットワークの防衛

表層の動機として、米国は同盟国の防衛強化を望んでいる。

2026年5月にテストされたINDOPACOMミッションネットワーク(IMN)は、米国・日本・フィリピン・オーストラリア等を結ぶゼロトラスト統合軍事ネットワークだ(Naval News、2026年5月)。日本のサイバーインフラが脆弱なままでは、この軍事統合ネットワーク全体が弱点を抱えることになる。

CSISの分析(2025年6月)が指摘するように、「敵対勢力は民間インフラを標的にする。なぜなら民間インフラが軍事作戦を支えているからだ」。日本の通信・金融・電力は、日米共同作戦の情報基盤と深くリンクしている。MirrorFaceが日本の防衛・宇宙・半導体・航空技術を標的にし続けたのは、日本の民間技術が米軍の装備体系・作戦計画と直結しているからだ。

2026年1月、米国はNSA(国家安全保障局)・サイバーコマンドの次期司令官として、INDOPACOM(インド太平洋軍)副司令官を指名した(Nextgov/FCW、2026年1月)。INDOPACOMの管轄地域に中国・日本・台湾が含まれることを考えれば、この人事はサイバーと対中・対日防衛が一体化していることの明確なシグナルである。

動機の第二層:ドル覇権と米国債の防衛

より深い動機は、米国の金融覇権の構造に関わる。

日本は世界最大の米国債保有国であり、その保有額は約1兆1,300億ドル(約176兆7,000億円)に達する(Forbes Japan、2026年1月;米国財務省データ)。過去10年間、日本はこの地位を維持し続けている。

1997年、橋本龍太郎首相が「米国債を売りたい衝動に駆られることがある」と発言した際、ダウ平均は1987年のブラックマンデー以来最大級の下落を記録した(日経ビジネス)。日本の金融システムが攻撃されれば、米国債市場・ドル覇権への影響は計り知れない。

CRINKが日本のメガバンクのシステムに侵入し、米国債取引データ・決済システム・外貨準備データを窃取または破壊した場合、被害は日本に留まらない。ドル建て決済システムの混乱・米国債市場への信頼失墜・円ドル相場の異常変動という形で、米国の金融覇権そのものが揺さぶられる。米国がGlasswingの文脈で「金融機関」を最優先にした理由は、ここにある。

動機の第三層:ジェネシス・ミッションに見る投資の非対称性

さらに、ジェネシス・ミッション(日米共同科学AIプロジェクト)の構造も同じ論理で読める。

日本が5年間800億円を投じ、米国側はAI企業がモデルと計算資源を「提供する」。日本が提供するのは資金だけでなく、国立研究所・大学・製造業が持つ科学データだ(ビジネス+IT、2026年6月)。核融合・量子・バイオといった日本固有の研究データが米国のAIプラットフォームに統合されることになる。

三層構造の統合――「善意と国益の交差点」に立つ日本

以上を整理すると、米国がGlasswingに日本を急いで招いた動機は三層構造をなしている。

●  軍事統合ネットワークの弱点補強(INDOPACOMの統合防衛体制の確保)

●  ドル覇権・米国債市場の防衛(世界最大の米国債保有国の金融システム保護)

●  対中技術覇権の維持(日本の先端研究・産業データを米国AIプラットフォームに統合)

この認識は「だから米国は信用できない」という結論を意味しない。同盟関係とは常に、共有する利益と各自の国益が重なる部分において機能する。重要なのは、日本がこの構造を正確に認識した上で、「与えられる側」から「対等な交渉主体」へと意識を転換することである。

片山大臣が「我が国固有のシステムが逆に功を奏するかもしれない」と述べたのは、まさにこの転換の萌芽を示している。核心を知る者が、日本の独自性に戦略的価値を見出し始めているのである。それは日本にとって好材料である。

第5章 戦略的再設計――「参加する」から「対等に参加する」へ

⏱ タイムリミット:最大12ヶ月
Anthropicが警告する「6〜12ヶ月」という時間軸において、「検討」「議論」「省内調整」を繰り返す余裕はない。 以下の提言は優先順位の高い順に「今すぐ」実行を始めるための行動指針である。

提言1【最優先】 「国家サイバー統括官」の即時設置

NCO・NISC・METI・AISI・金融庁の横断調整を一元化する実質的な権限を持つ「国家サイバー統括官」ポストを設置する。

●  フロンティアAI(最先端の高性能AI)の能力閾値を越えた際の「即日招集権限」を持つ

●  重要インフラ事業者への脅威情報共有・対応要請を一元化

●  米国・韓国・英国等との24時間リアルタイム情報共有チャネルを確立

●  Glasswing等の国際プログラムへの参加交渉の専任主体とする

提言2 「官民インテリジェンス統合」の制度化

●  経済安全保障推進法の基幹インフラ16業種に、AIサイバー脅威情報の即時共有を義務化

●  重要インフラ事業者CISO(最高情報セキュリティ責任者)と国家サイバー統括官の定期・緊急会議体を制度化

●  J-ISAC++(情報共有分析センターの強化版)を整備し、Glasswing型の脆弱性情報をリアルタイム共有できる基盤を構築

提言3 「日本版Glasswing」の加速・拡充

日本版Glasswingは2026年5月上旬に始動した(平将明・元デジタル大臣、T4IS2026、2026年5月13日)。しかし「始動」は「完成」ではない。金融分野を起点とした第一フェーズを早急に拡充し、エネルギー・通信・医療へ展開する第二フェーズへの移行を加速する必要がある。

●  日本版Glasswing第二フェーズとして、電力・鉄道・通信・医療の各業種へのAIスキャンツール展開を加速する

●  米国との「トラステッドコリドー(信頼された特別アクセス回廊)」交渉を加速し、Mythos級能力への条件付きアクセスを確保

●  参加組織を段階的に公表し、防衛意志を内外にシグナリング(対外的に意思表明)する

●  「始動」から「稼働・実績」への移行を示す定量的目標(スキャン完了件数・発見脆弱性数・パッチ適用率)を設定し公表する

提言4 「AIサイバー防衛予算」の緊急措置

●  防衛予算・経済安全保障予算の中に「AIサイバー防衛枠」を設け基幹インフラ事業者の導入を財政支援

●  セキュリティ人材育成に5年間集中投資。スキャン・検証・パッチ適用サイクルを回せる人材を国家的に育成

●  中小企業のサイバー対策支援を大企業サプライチェーン(部品・サービスの調達ネットワーク)保護の観点から抜本的に強化

提言5 「透明性と国際発信」の確立

●  参加組織の公表(可能な範囲)を行い防衛体制の確立を対外発信する

●  クアッド(日米豪印の安全保障協力枠組み)・日米・日英・日EU枠組みにおけるAIサイバー協力を正式議題に格上げ

●  北朝鮮ITワーカー問題について日米韓三カ国の協力をさらに深め、企業への啓発と水際対策を強化

提言6 データ主権と参加条件の明示的交渉

Glasswingへの参加において「何を差し出すか」の条件を、明文化した契約として確立する。

●  スキャン対象のコード・脆弱性情報の二次利用禁止をAnthropicとの契約に明記し、独立した第三者機関による検証を義務付ける

●  日本の重要インフラデータを処理するサーバーの地理的管轄(日本国内または日米間で合意した管轄)を契約条件として交渉する

●  ジェネシス・ミッションへの800億円投資においても「日本の研究データ主権確保条項」を組み込む

●  トラステッドコリドーの枠組みを「アクセスを与えてもらう仕組み」ではなく「対等な条件交渉の産物」として再設計する

提言7 「ガラパゴス」を戦略的資産に転換せよ

日本固有のシステム・プロトコル・慣行を「弱点」ではなく「情報的堅牢性」として意図的に設計・管理する。

●  金融・電力・通信インフラにおける「日本独自仕様の維持・強化」を、国際標準化とは切り分けて安全保障政策として位置づける

●  「ガラパゴス性」が持つ情報的堅牢性を定量評価する独立研究を経産省・防衛省・金融庁の共同プロジェクトとして立ち上げる

●  Glasswingのスキャン結果を「日本固有システムの何が強くて何が弱いか」を特定する機会として戦略的に活用し、強い部分は意図的に維持する

●  片山大臣の指摘する「逆に功を奏するかもしれない」部分を政策化する専門チームを設置する

結論――「守られる国」から「守り、攻める国」へ

日本のMythos参加は、失敗の物語ではない。それは、日本のサイバーセキュリティをめぐる五つの深層問題を同時に可視化した、稀有な「契機」だった。

意思決定の構造的遅延、日本インフラ固有の脆弱性、技術的非対称性、情報主権のジレンマ、そして米国の真の動機。これらは今回の参加プロセスがなければ、政策の表面に浮上しなかった問題群である。その意味で「6週間の空白」は、日本がサイバー主権の問いと正面から向き合う契機をもたらした。

しかし「契機」は、活かされなければ意味をなさない。

米国が日本のGlasswing参加を急いだ理由は、善意だけではない。日本は世界最大の米国債保有国であり、ドル覇権を支える担い手であり、INDOPACOMの軍事統合ネットワークの結節点である。「日本を蚊帳の外に置けない」という米国の判断は、同盟の論理と国益の論理が重なる地点から生まれている。

日本にとって重要なのは、この構造を被害者意識で見るのではなく、「交渉力の源泉」として認識することである。米国が日本を必要としているという事実は、日本が対等な条件で参加を求める根拠になる。片山大臣が示唆した「我が国固有のシステムが逆に功を奏するかもしれない」という視点は、この交渉力の核心を突いている。

「守られる国」から「守る国」へ。しかし「守る」とは、防衛するだけを意味しない。自国の独自性を戦略的資産として設計し、データ主権を明文化し、技術的非対称性の中でも交渉主体として立つこと。それが「攻める」ことでもある。

Mythos参加が露呈したものは、日本の弱さではなく、日本がまだ活かしていない強さの輪郭だった。その輪郭を、今こそ意図的な戦略として設計する時が来ている。

主要参考文献

【一次資料:Anthropic公式】

●  Anthropic「Expanding Project Glasswing」2026年6月2日

●  Anthropic「Project Glasswing: Securing critical software for the AI era」2026年4月7日

●  Anthropic「Project Glasswing: An initial update」2026年5月

●  Anthropic「Disrupting the first reported AI-orchestrated cyber espionage campaign(GTG-1002レポート)」2025年11月

●  Anthropic「Claude Mythos Preview System Card」2026年4月(CyberGym 83.1%・Cybench 100%のベンチマーク数値の出典)

【政府・規制当局・国際機関】

●  金融庁・日本銀行「フロンティアAIによる脅威変化を踏まえた金融機関等の短期的な対応」2026年5月22日

●  日本警察庁「中国MirrorFaceグループによるサイバー攻撃キャンペーンに関する報告」2025年1月

●  日本政府「サイバーセキュリティ戦略2025〜2030」2025年12月23日(内閣サイバーセキュリティセンター)

●  ODNI(米国国家情報長官室)「Annual Threat Assessment 2026」2026年3月

●  Naval News「New INDOPACOM Mission Network links allies during Balikatan」2026年5月

●  MOFA「The 10th Japan-U.S. Cyber Dialogue」2025年6月19日

【シンクタンク・学術機関】

●  CSIS「Norms in New Technological Domains: What’s Next for Japan and the United States in Cyberspace」2025年6月17日

●  CSIS「Japan’s Present and Future National Security Strategy: Five Key Challenges to Watch」2026年2月17日

●  The Diplomat「How Japan’s Active Cyber Defense Is Changing Its International Cooperation」2025年9月19日

●  Alan Turing Institute CETaS「AI Cooperation Trajectories: Adversaries and Geostrategic Competitors」2026年3月

●  Nextgov/FCW「Experts see NSA nominee’s Pacific experience as a boost to US cyber posture on China」2026年1月

【専門メディア】

●  日本経済新聞「AI『ミュトス』アクセス権、政府・金融機関に付与 片山金融相が表明」2026年5月22日

●  ITmedia「日本政府、AI『Mythos』アクセス権を取得」2026年6月4日

●  ビジネス+IT「片山金融相、新型AI『ミュトス』のサイバーリスクで日銀総裁・3メガ幹部と緊急会合」2026年4月24日

●  Forbes Japan「米国債が38兆ドル突破、日本は保有国トップの座を継続」2026年1月7日

●  ビジネス+IT「日米、AI事業『ジェネシス・ミッション』で連携…1,600億円を共同投資へ」2026年6月

●  Ledge.ai「片山さつき金融相、AI『Claude Mythos』を『今そこにある危機』と認識」2026年4月25日

●  Infosecurity Magazine「OpenAI and Anthropic LLMs Used in Critical Infrastructure Cyber-Attack」2026年5月

●  IT Pro「CRINK attacks: which nation state hackers will be the biggest threat in 2026?」2025年12月

●  TBS News Dig「片山さつき金融担当大臣インタビュー(Glasswing参加について)」2026年6月3日放送/Ledge.ai「片山さつき金融相、AI『Claude Mythos』を『今そこにある危機』と認識」2026年4月25日(発言内容はLedge.ai活字版にて確認)

●  毎日新聞「米のProject Glasswingを見習ったサイバー防御態勢を築く方針を表明」2026年6月3日付

【当研究所既報】

●  「AIサイバー兵器が盗まれる日【追記版】」一般財団法人日本危機管理研究所(2026年4月23日)https://inst-ds.org/cyber-security/1242/

●  「ロシアが『犯罪者』を『国家資産』に変える日」一般財団法人日本危機管理研究所(2026年3月31日)https://inst-ds.org/cyber-security/1048/

【免責事項】本稿に含まれる情報は公開情報に基づくものであり、政府または特定企業の公式見解を代表するものではありません。

用語集(五十音順)

本稿で使用している主要な技術・政策用語を五十音順で解説する。IT・安全保障の専門知識を前提としない読者向けに、わかりやすい言葉で記述した。

AISI(エーアイエスアイ)/AIセーフティ・インスティテュート

日英両国に設置されたAIの安全性を評価・研究する政府機関。英国AIセーフティ機関はMythosを「他のフロンティアモデルと比べた明確な一段上」と独立評価した。日本版はIPAに設置されており、フロンティアAIの評価・基準策定を担う。

APT(エーピーティー)/高度持続的脅威

Advanced Persistent Threatの略。国家または国家に支援された高度なハッカーグループの総称。「高度」な技術力、「持続的」な長期間の潜伏、「脅威」としての組織的攻撃が特徴。APT28(ロシア系)・APT33(イラン系)・Lazarus Group(北朝鮮系)・MirrorFace(中国系)などが知られる。

DDoS(ディードス)攻撃

Distributed Denial of Service攻撃の略。多数のコンピュータから一斉に大量のアクセスを送り、サーバーやネットワークを過負荷状態にして機能停止させる攻撃手法。2025年に日本の46機関を標的にした波状攻撃に使用された。

GTG-1002(ジーティージー・イチゼロゼロニ)

中国政府が支援するハッカーグループ。2025年9月、AnthropicのAIコーディングツール「Claude Code」を悪用し、化学製造・テクノロジー・金融・政府機関など約30の世界的組織への侵入作戦を実行した。攻撃の80〜90%をAIが自律実行した初の実証事例(出典:Anthropic公式レポート2025年11月)。

INDOPACOM(インドパコム)/米インド太平洋軍

U.S. Indo-Pacific Commandの略。ハワイに司令部を置く米軍の統合軍。管轄地域に中国・日本・台湾・オーストラリアを含む。2026年5月、日本・フィリピン・オーストラリア等とゼロトラスト統合軍事ネットワーク「IMN」をテスト実施した。日本のサイバーインフラはこのネットワークの結節点として位置づけられている。

J-ISAC++(ジェイ・アイサック・プラスプラス)

本稿の提言で構想する日本版の情報共有分析センター強化版。重要インフラ事業者・政府機関・民間企業がAIサイバー脅威情報をリアルタイムで共有できる基盤として提言している。米国のISAC(Information Sharing and Analysis Center)に相当する組織の発展形。

MirrorFace(ミラーフェイス)

中国政府が支援するハッカーグループ(APT10系と関連)。日本を主要標的とし、2019年から2024年にかけて政府機関・防衛組織・宇宙研究センター・先端技術企業など200件超への侵入を試みたことが確認されている(日本警察庁、2025年1月報告)。

オープンソースAI

AIモデルの設計・重みパラメータ(学習結果)・学習コードが公開されており、誰でも無償で利用・改変できるAI。安全策なしに高能力モデルが公開された場合、攻撃者がそのまま悪用できるリスクがある。

ガラパゴス性(ガラパゴスせい)

日本固有の製品・システム・慣行が国際標準から孤立して独自進化を遂げた状態を指す表現。本稿では、日本の金融・インフラシステムの独自仕様が持つ「解析困難性」という逆説的な情報的堅牢性として再評価している。片山大臣の「逆に功を奏するかもしれない」という発言がこの逆説を示唆している。

データ主権(データしゅけん)

自国のデータを自国の法律・管理下に置く権利と能力。Glasswingへの参加において、日本の重要インフラのコード・脆弱性情報がAnthropicのシステムを経由する際、その管理権・二次利用禁止の確保が課題となる。本稿の提言6の核心概念。

重要インフラ(クリティカル・インフラ)

電力・水道・金融・通信・医療・交通・政府機能など、社会・経済の正常な機能に不可欠なシステムや設備の総称。日本では経済安全保障推進法で電力・ガス・石油・水道・鉄道・航空・空港・通信・放送・郵便・金融・クレジット・石油化学・医療・水道・情報処理の16業種が「基幹インフラ」として指定されている。

省庁縦割り(しょうちょうたてわり)

日本の行政機構の特徴の一つ。各省庁が自らの所管分野に閉じた組織運営を行い、省庁間の横断的な情報共有や意思決定が行われにくい構造。本稿が指摘する「6週間の空白」の主因の一つ。

脆弱性(ぜいじゃくせい)

ソフトウェアやシステムに存在するセキュリティ上の欠陥・弱点。攻撃者に悪用されると不正アクセス・情報漏洩・システム停止などの被害が生じる。「ゼロデイ脆弱性」とは、まだ誰にも知られていない(対策がゼロ日目の)脆弱性を指す。

トラステッドコリドー(信頼された回廊)

日本・インドなどの同盟国が、データ主権要件を満たしながら米国のGlasswing等のプログラムに参加するための特別な枠組みの構想。機密性の高いAIモデルに条件付きでアクセスする仕組みで、日米間で交渉が進められている。本稿は「与えてもらう仕組み」ではなく「対等な条件交渉の産物」として再設計すべきと提言している。

能動的サイバー防衛(ACD)

Active Cyber Defenseの略。攻撃を受けてから対応する「受動的防衛」に対し、攻撃者のネットワークやシステムに事前・積極的に介入して攻撃を無力化する防衛手法。日本では「能動的サイバー防衛法(ACD法)」が2025年5月に成立した。

ランサムウェア

コンピュータのファイルやシステムを暗号化して使用不能にし、元に戻すための「身代金(Ransom)」を要求する悪意あるソフトウェア。日本のランサムウェア被害の57%が中小企業に集中しており(2026年時点)、大企業サプライチェーンへの侵入経路となっている。

【配布用サマリー】プレスリリース版(転載・配布可)『日本のMythos参加が露呈したもの ー「6週間の空白」を契機に、サイバー主権の再設計へ』

舩山 美保 一般財団法人 日本危機管理研究所 理事/ 中東アジア情報戦略研究所 研究員
上智大学卒業(国際政治学)、青山学院大学大学院修了(国際政治経済学・哲学・心理学)。
キヤノン株式会社にて国際標準・新技術の特許調査・分析業務を担当。ISO/IEC JTC1 SC28(オフィス機器)副国際幹事として、国際規格の策定プロセスを主導した実務経験を持つ。標準化交渉の場における多国間調整および技術文書の戦略的分析に従事。

研究領域:
言語・行動パターンの体系的分析手法を応用した意思決定構造・行動構造の解析を専門とする。とりわけPSYOP(心理作戦)および情報戦の分析、ならびに危機管理政策の視点からセキュリティインテリジェンスの研究・分析を行っている。国際政治学・心理学・哲学にまたがる学際的バックグラウンドを基盤に、国家・非国家アクターによる認知領域への介入メカニズムの解明に取り組む。

【English Edition】

What Japan’s Participation in Mythos Has Laid Bare

Seizing the “Six-Week Void” to Redesign Cyber Sovereignty

From “a Nation That Is Protected” to “a Nation That Protects—and Strikes Back.” The Fundamental Implications of Project Glasswing Participation for Japan

June 7, 2026

Published by: Japan Institute for Crisis Management

Author: Miho Funayama (JICM)

KEY TERM: THE “SIX-WEEK VOID”April 7, 2026

The day Anthropic unveiled to the world “Claude Mythos,” history’s most powerful AI cyber model, and “Project Glasswing,” its accompanying defense program. The United States convened an emergency meeting of bank CEOs at the Treasury and the Federal Reserve that same day; South Korea began negotiations immediately and announced Samsung’s participation within hours.June 3, 2026The day Japan formally announced its participation.This paper refers to the roughly six weeks in between as the “Six-Week Void.” It is not a mere procedural delay. It is six weeks during which Japan’s long-standing structural problems—ministerial silos, institutional gaps in public-private information sharing, an outdated conception of national security, and a lack of stakeholder awareness—all surfaced at once. It is simultaneously a “catalyst” that made Japan’s deeper problems of cyber sovereignty visible.
EXECUTIVE SUMMARY
This paper takes Japan’s participation in Anthropic’s Claude Mythos Preview and Project Glasswing—announced April 7, 2026—as its point of departure, analyzes five underlying problems that the process simultaneously exposed, and draws out policy implications.The “Six-Week Void” (see definition above) concentrates the essence of those problems. While South Korea publicly announced Samsung, SK hynix, and SK Telecom’s participation on the very day of the launch, Japan’s Minister Katayama stated at a post-Cabinet press conference that “some Japanese financial institutions are among the new participants in this project,” and emphasized that Japanese financial institutions “cannot afford to lag behind other countries” (Ministry of Finance official press conference summary, June 3, 2026 1[Reiwa 8]). More important, however, is that this delay and ambiguous public disclosure posture are surface phenomena, behind which lie structural problems: technological asymmetry, the dilemma of information sovereignty, and the United States’ true motives.

The paper is organized in five chapters:

① What is Mythos?
② CRINK and the AI threat.
③ Recent international cases.
④ The five underlying problems laid bare.
⑤ Proposals for strategic redesign.

Related Prior Reports
▶ Direct reference: “The Day AI Cyber Weapons Are Stolen [Updated]” (April 23, 2026)  https://inst-ds.org/cyber-security/1242/
▶ Indirect reference: “The Day Russia Turns ‘Criminals’ into ‘National Assets’” (March 31, 2026)  https://inst-ds.org/cyber-security/1048/

Table of Contents

Chapter 1  The Day AI Became a “Weapon”: What Is Mythos?

  1-1  The Old Assumptions Have Collapsed

  1-2  Project Glasswing—The Agonizing Choice to “Limit Distribution in Order to Defend”

  1-3  Why the Rush to Expand Now?

Chapter 2  Who Is the Enemy? CRINK and the Spread of the AI Threat

  2-1  “6–12 Months” May Be Too Optimistic

  2-2  What Is CRINK? The Chain Structure of the Threat

  2-3  Threat Profiles of Individual CRINK Nations

  2-4  “Open-Source AI”: The Greatest Amplifying Factor

Chapter 3  What Is Happening in the World Right Now: Five Recent Cases

  3-1  The Moment AI Became the “Star of the Attack”

  3-2  The “Nature” of Attacks Has Changed: Three Collapsed Assumptions

Chapter 4  The Five Underlying Problems That Mythos Participation Simultaneously Exposed

  4-1  Structural Delay in Decision-Making: Anatomy of the “Six-Week Void”

  4-2  Vulnerabilities Unique to Japan’s Infrastructure

  4-3  Technological Asymmetry: The Structure of Being “Given”

  4-4  The Information-Sovereignty Dilemma: What Does Participation Give Away?

  4-5  Reading the United States’ True Motives: Where Goodwill Meets National Interest

Chapter 5  Strategic Redesign: From “Participating” to “Participating as an Equal”

  Proposal 1 [Top Priority]  Immediate Establishment of a “National Cyber Director”

  Proposal 2  Institutionalizing “Public-Private Intelligence Integration”

  Proposal 3  Accelerating and Expanding the “Japanese Glasswing”

  Proposal 4  Emergency Measures for an “AI Cyber Defense Budget”

  Proposal 5  Establishing “Transparency and International Communication”

  Proposal 6  Explicit Negotiation of Data Sovereignty and Participation Terms

  Proposal 7  Transform “Galapagos” into a Strategic Asset

Conclusion—From “a Nation That Is Protected” to “a Nation That Protects—and Strikes Back”

Key References

Glossary (Alphabetical)

Key Terms

Before reading this paper, please review the following key terms. Brief explanations also appear in parentheses at first occurrence in the text.

TermDescription
Claude Mythos PreviewA general-purpose AI model announced by Anthropic in April 2026. Its ability to autonomously discover and exploit software vulnerabilities has surpassed human-expert level.
Project GlasswingAnthropic’s managed program that provides Mythos exclusively for defensive purposes. Organizations protecting critical infrastructure such as power, finance, and telecommunications are eligible.
CRINKAcronym for China, Russia, Iran, and North Korea—an authoritarian-state coalition that informally shares cyber-attack capabilities.
GTG-1002A Chinese government-backed hacker group that exploited a US-made AI to execute autonomous cyberattacks on 30 organizations worldwide in September 2025.
Zero-day VulnerabilityA software flaw unknown to anyone. Because no countermeasure yet exists, exploitation causes especially severe damage.
MirrorFaceA Chinese government-backed hacker group (APT10-linked) that has targeted Japan as its primary focus, conducting over 200 attacks on government, defense, and aerospace sectors between 2019 and 2024.
APT (Advanced Persistent Threat)A collective term for sophisticated hacker groups backed by—or acting on behalf of—nation-states. They are characterized by long-term covert presence and organized attacks.
Critical InfrastructureSystems indispensable to society’s normal functioning, including power, water, finance, telecommunications, healthcare, and transportation. Japan designates 16 sectors by law.
Active Cyber Defense (ACD)A method of preemptively intervening in an attacker’s systems to neutralize attacks. Legislation passed in Japan in May 2025.
Trusted CorridorA proposed special framework allowing nations such as Japan and India to join US programs such as Glasswing while meeting data-sovereignty requirements. Japan and India are in negotiations.
Data SovereigntyThe right and capacity to keep one’s own data under one’s own laws and control. The core condition Japan must secure in Glasswing participation.
J-ISAC++A proposed enhanced version of Japan’s Information Sharing and Analysis Center, as recommended in this paper. A platform for real-time sharing of AI threat information between critical-infrastructure operators and the government.

Chapter 1  The Day AI Became a “Weapon”: What Is Mythos?

1-1  The Old Assumptions Have Collapsed

Finding software security vulnerabilities had long been “something skilled human experts spend months doing.” Seasoned security researchers read through code one line at a time, identifying problems and verifying whether they can truly be exploited. That work was costly and time-consuming, and vast numbers of undiscovered, unpatched vulnerabilities had accumulated in software around the world.

April 7, 2026: that assumption collapsed.

Anthropic (a leading US AI company) unveiled “Claude Mythos Preview.” This model can perform vulnerability discovery and exploitation at machine speed, 24 hours a day, 365 days a year, at scale.

According to Anthropic’s official system card (April 2026), Mythos scored 83.1% on the cybersecurity benchmark “CyberGym” and 100% (pass@1) on “Cybench.” It autonomously discovered a 27-year-old vulnerability in OpenBSD and a 17-year-old FreeBSD RCE. Its performance “saturates” existing security evaluation metrics with perfect scores. The UK AI Safety Institute (AISI) independently assessed it as “a clear step above other frontier models.”

Anthropic itself acknowledges that this model can “discover and exploit vulnerabilities at a level surpassing almost all humans except the most highly skilled.” For defenders it is a powerful shield; in the hands of an attacker, it could become the most dangerous cyber weapon in human history.

1-2  Project Glasswing—The Agonizing Choice to “Limit Distribution in Order to Defend”

Because it is so dangerous, Anthropic abandoned general public release. Instead it created a framework called “Project Glasswing.”

Glasswing’s logic is straightforward: “give defenders a first-mover advantage before attackers acquire equivalent capability.” Access to Mythos is granted exclusively to organizations that protect the foundations of society—power, water, finance, telecommunications, and healthcare—allowing them to find and fix their own code’s weaknesses.

Phase 1 (April 7): launched with roughly 50 organizations including AWS, Apple, Microsoft, Google, and CrowdStrike.

  • Critical vulnerabilities discovered by the initial 50 organizations: over 10,000
  • Scanning 1,000 open-source projects: 6,202 high and critical vulnerabilities discovered

Phase 2 (June 2): expanded to more than 150 new organizations across 15+ countries. Okta, Samsung, SK hynix, NATO, and ENISA publicly announced participation.

Japan joined in this Phase 2. Minister Katayama officially confirmed at her post-Cabinet press conference that “some Japanese financial institutions” are included, and strongly welcomed the participation, stating that Japanese financial institutions aiming to be “world-class” “cannot afford to lag behind other countries” (Ministry of Finance, June 3, 2026). However, she declined to name the specific organizations—“I will deliberately refrain from disclosing them,” with a hint that the three megabanks were involved (Mainichi Shimbun, June 3, 2026). Multiple factors likely account for the non-disclosure: security considerations about informing attackers, concern about market impact, and contractual confidentiality obligations. Yet the absence of explicit disclosure criteria remains a contrast with South Korea’s immediate naming of participating firms as a signal of defensive resolve.

1-3  Why the Rush to Expand Now?

“Within 6–12 months, other AI companies may develop Mythos-level models and release them to the public without safety measures”—this is the primary reason Anthropic moved to accelerate its expansion. The window for defenders to discover and patch vulnerabilities before attackers acquire Mythos-level capabilities is now one year at most.

Chapter 2  Who Is the Enemy? CRINK and the Spread of the AI Threat

2-1  “6–12 Months” May Be Too Optimistic

Anthropic estimates Mythos-level capability will be reached “within 6–12 months.” Yet China’s largest cybersecurity firm, Qihoo 360, claims its own AI “already has vulnerability-discovery capability comparable to Mythos.” Independent researchers have assessed that it “has not yet matched Mythos’s reasoning capability.” But the critical point is not the question of technical superiority.

⚠ Critical Shift in Perspective
China does not need to develop Mythos on its own. It is already using US-made AI in actual cyberattacks. In September 2025, Chinese state-backed hacker group GTG-1002 exploited Anthropic’s AI coding tool “Claude Code” to conduct intrusion operations against approximately 30 global organizations (Source: Anthropic official report, “Disrupting the first reported AI-orchestrated cyber espionage campaign,” November 2025). 80–90% of those attacks were executed autonomously by AI.Note: This fact was first analyzed in detail in our institute’s prior report, “The Day AI Cyber Weapons Are Stolen” (https://inst-ds.org/cyber-security/1242/).

2-2  What Is CRINK? The Chain Structure of the Threat

CRINK stands for China, Russia, Iran, and North Korea—a collective term for an “authoritarian-state coalition.” These four countries informally share technology, intelligence, and malware. China obtaining Mythos-level AI in effect means CRINK shares that capability.

Figure 1  The Chain Structure of the CRINK AI Cyber Threat (2026) 

2-3  Threat Profiles of Individual CRINK Nations

NationMain Threat ActorsAI Utilization CharacteristicsDirect Threat to Japan
ChinaMirrorFace (APT10-linked), GTG-1002Autonomous AI intrusion operations; 80–90% of attacks already executed autonomouslyOver 200 confirmed attacks against Japan 2019–2024, targeting government, defense, space, semiconductors (CSIS, June 2025)
RussiaAPT28/Sandworm, NoName057AI malware battle-tested in Ukraine; automation of DDoS attacksRetaliatory DDoS attacks increasing in response to Japan’s defense buildup and NATO ties
IranAPT33, Charming KittenAI-generated phishing (spear-phishing via fake emails and sites)Japan’s Middle East-linked energy firms and diplomatic channels are targets
North KoreaLazarus Group, KimsukyAI deepfake identity fraud and corporate infiltrationCrypto assets and defense-industry supply chains targeted; over ¥8.8 billion stolen over six years

2-4  “Open-Source AI”: The Greatest Amplifying Factor

If a Mythos-level model were released as “unrestricted open source,” state backing would no longer be necessary. Any criminal organization or terrorist group, anywhere in the world, would be capable of sophisticated cyberattacks. Forty percent of cyberattacks in 2026 are already AI-driven, with approximately 2,200 attacks occurring worldwide every day.

Chapter 3  What Is Happening in the World Right Now: Five Recent Cases

3-1  The Moment AI Became the “Star of the Attack”

Case 1  Fully Autonomous AI Attack on a Mexican Water Utility (December 2025–February 2026)

According to Dragos (an industrial infrastructure cybersecurity firm), an intrusion operation lasting approximately two months targeted the water utility serving the greater Monterrey metropolitan area of Mexico, using AI tools as the primary technical executor. The vast majority of the 350+ attack-related artifacts were AI-generated, making this the world’s first officially recognized “AI-primary” case.

Case 2  Paralysis of Passenger Systems at European Airports (September 2025)

A cyberattack on Collins Aerospace’s ARINC boarding management system prevented passengers from boarding at multiple European airports. This is a paradigmatic example of the new-generation hybrid attack: generating social fear without physical damage.

Case 3  China’s Continuous Attacks on Taiwanese Infrastructure

According to Taiwan’s National Security Bureau, attacks from China on Taiwan’s critical infrastructure in 2025 averaged 2.63 million per day, up 6% year-on-year—aimed at reconnaissance and degradation of power, finance, and telecommunications as a pre-conflict measure. In the event of a Taiwan contingency, Japan’s infrastructure could similarly become a target for such “pre-degradation” attacks.

Case 4  North Korean IT Workers Infiltrating Corporations

North Korea obtained more than ¥8.8 billion over six years through AI-enabled identity fraud to infiltrate corporations. From Q3 2025 onward, deepfake technology has been deployed in actual intrusion operations. Japan, the US, and South Korea held a countermeasure meeting in Tokyo in August 2025.

Case 5  Continuing Cyberattacks against Japan—This Is Not Someone Else’s Problem

  • MirrorFace (Chinese APT10-linked): over 200 attacks targeting government, defense, space, and advanced technology between 2019 and 2024 (National Police Agency of Japan, January 2025 report)
  • 2025 DDoS wave attacks on Japan: 46 organizations including Mizuho, NTT Docomo, and Japan Airlines targeted
  • Board of Audit survey: 16% of national and local government IT systems found to be vulnerable to attack

3-2  The “Nature” of Attacks Has Changed: Three Collapsed Assumptions

Collapsed AssumptionReality After AIImpact on Japan
Sophisticated attacks are costly and require state-level supportAI has dramatically reduced the cost of attacks, enabling criminal organizations to conduct nation-state-level attacksThe assumption that “only large corporations are targeted” no longer holds
ID management and authentication designed for humans also works against AIAI agents operate as “non-human IDs” and circumvent conventional authenticationUrgent review required for My Number cards, financial authentication, VPNs, etc.
Human beings are always involved in critical decisions80–90% of intrusions executed autonomously by AI without human intervention (GTG-1002 case)Attack speed exceeds human response speed; reactive defense is insufficient

Chapter 4  The Five Underlying Problems That Mythos Participation Simultaneously Exposed

This chapter dissects in turn the five underlying problems that Japan’s Glasswing participation process made visible. These are not independent problems; they are an interconnected cluster of structural issues.

4-1  Structural Delay in Decision-Making: Anatomy of the “Six-Week Void”

Underlying Problem
Approximately six weeks elapsed between Glasswing’s launch (April 7) and Japan’s formal announcement of participation (June 3). This delay was not accidental; it is the product of four structural defects.

Defect 1: No Command Center Due to Ministerial Silos

This issue intersects AI, cybersecurity, and economic security—with jurisdiction spread across METI, the Cabinet Cyber Office (NCO), the AI Safety Institute (AISI), the Financial Services Agency, and the Ministry of Defense, among others. Because no single command center exists to make cross-cutting decisions immediately, weeks were consumed simply coordinating which ministry would act.

Defect 2: Institutional Vacuum in Public-Private Information Sharing

In South Korea, strong informal information channels exist between the government and the conglomerate-linked large corporations, enabling instant sharing of national-security-relevant intelligence. Japan has the Critical Infrastructure regime under the Economic Security Promotion Act, but a system for real-time threat sharing and joint response has not been institutionally established.

Defect 3: The Outdated Equation of “Security = Military”

In Japan’s policy culture, cyber threats still tend to be handled as “an IT department issue.” This contrasts sharply with the US Treasury and Federal Reserve, which treated the matter as a national financial security emergency and responded the same day.

Defect 4: Structurally Weak Sense of Ownership

Japan’s critical infrastructure has already suffered over 200 confirmed state-sponsored cyberattacks. In that light, participating in Glasswing is not “something given to us” but “an essential requirement for protecting national survival.” Whether Japan’s posture of “deliberately refraining from disclosure” reflected strategic calculation or a product of insufficient coordination—compared with South Korea’s immediate announcement of organizational names as a signal of defensive resolve—deserves renewed scrutiny.

Comparison of Response Speeds by Country

PeriodUnited StatesSouth KoreaJapan
April 7 (Day of Announcement)Treasury and FRB convene emergency meeting of bank CEOsGovernment and major corporations begin negotiations immediatelyNo official reaction. Observe and wait.
April 20–24Initial 50 organizations running MythosFinal coordination toward participation continuesLDP announces “beginning of deliberations.” Minister Katayama convenes BOJ and megabanks.
May 22Over 10,000 critical vulnerabilities already discoveredParticipation confirmedFSA and BOJ finally request all financial institutions to respond (Nikkei)
June 2–3Leads expansion to 150 organizationsSamsung etc. publicly named on day of announcementParticipation announced. Official confirmation at post-Cabinet conference that “some Japanese financial institutions” are included; names of participants “deliberately not disclosed” (MOF official conference summary, June 3, 2026)

4-2  Vulnerabilities Unique to Japan’s Infrastructure

Underlying Problem
Japan’s infrastructure harbors multiple structural vulnerabilities.
  • Preservation of legacy OT (Operational Technology: control systems for factories and power plants): Legacy systems remain in the core of power, railway, and financial systems; in some cases they are connected to the internet with insufficient network isolation.
  • Severe shortage of security personnel: Even with AI-enabled scanning and patch-creation tools available, the personnel needed to operate and evaluate them are lacking.
  • Glasswing gap: The inability to stress-test one’s own equipment using Mythos also applies to Japan’s telecommunications operators.
  • Concentration risk in large-scale digital infrastructure: Attacks on My Number, the Digital Agency infrastructure, and the banking settlement system could affect tens of millions of people. The Board of Audit survey found 16% of national and local government IT systems to be in a vulnerable state.

4-3  Technological Asymmetry: The Structure of Being “Given”

Underlying Problem ③
Before welcoming Japan’s Glasswing participation as “a strengthening of cyber defense,” we must assess its structure with clear eyes.

Mythos belongs to Anthropic—a US company. Participation terms, access scope, and terms of use are also determined by Anthropic and the US government. Japan is “the side that is granted permission to participate,” not the side that sets the terms.

This asymmetry is exemplified in an economic diplomatic context: on May 22, 2026, US Treasury Secretary Bessent informed Japan’s Financial Services Minister Katayama that access rights would be granted “within two weeks” (Nikkei, May 22, 2026). A technical matter was used as a diplomatic card at the Treasury Secretary level.

The same structure is visible in the Genesis Mission (a Japan-US joint scientific AI project). Japan invests ¥80 billion (approximately USD 500 million) over five years; the US side “provides” AI models and computing resources. The side that provides funding, versus the side that controls the technology and platform: this is the basic structure of current Japan-US AI collaboration.

As CSIS’s analysis (June 2025) notes, Japan has long been criticized for “overreliance on the US cyber defense system.” The enactment of the Active Cyber Defense (ACD) Act is evaluated as a first step toward breaking free of that. Glasswing participation carries the risk of running counter to that direction.

4-4  The Information-Sovereignty Dilemma: What Does Participation Give Away?

Underlying Problem ④
Glasswing participation entails not only “discovery of vulnerabilities” but also “sharing of information.”

When the three megabanks—Mitsubishi UFJ, Sumitomo Mitsui, and Mizuho—scan their own systems with Mythos, Japan’s core financial system’s code, architecture, and vulnerability information passes through Anthropic’s systems.

The fact that Minister Matsumoto declined to reveal the transaction amounts with Anthropic or the progress of the work (ITmedia, June 4, 2026) is itself a glimpse of this opacity. Whether “prohibition on secondary use of scan results” has been made explicit as a legally binding contractual condition, and whether Japan can independently verify this, remains opaque at present.

The “Galápagos Paradox”—Japan’s Unique Systems May Serve as a ShieldHere Minister Katayama’s remarks carry important policy implications. The minister stated that “there are aspects in which Japan’s financial institutions’ unique systems are pointed out as weaknesses, but on the contrary they may work to our advantage” (TBS News Dig, broadcast June 3, 2026).This remark should be read as a deliberate policy signal from a minister who knows the core of the matter. Japan’s financial system’s “Galápagos character”—a composite of proprietary specifications, protocols, and practices—has long been criticized as a weakness lagging behind international standards. Yet paradoxically, it may function for CRINK as “informational robustness” that is difficult to analyze.Whether Japan can strategically design and manage this uniqueness is the core question of Japan’s cyber sovereignty.

The information-sovereignty dilemma is structural: without participating, Japan cannot discover and fix its own infrastructure’s vulnerabilities; by participating, Japan’s infrastructure information passes through Anthropic’s systems. To resolve this dilemma, we must ask not “whether to participate” but “on what conditions to participate.”

4-5  Reading the United States’ True Motives: Where Goodwill Meets National Interest

Underlying Problem ⑤
The purpose of this section is not to criticize the United States. In international politics, it is natural for every country to prioritize its own national interests; the US is no exception. The question here is to accurately understand the structural motives behind why the US pressed for Japan’s Glasswing participation, in order to gain the perspective needed for Japan to stand as an equal negotiating party.

Motive Layer 1: Defense of the Allied Military Integration Network

At the surface level, the US wants to strengthen allies’ defenses. The INDOPACOM Mission Network (IMN) tested in May 2026 is a zero-trust integrated military network connecting the US, Japan, the Philippines, Australia, and others (Naval News, May 2026). If Japan’s cyber infrastructure remains vulnerable, the entire military integration network carries a weak point.

As CSIS’s analysis (June 2025) notes: “adversaries target civilian infrastructure because civilian infrastructure supports military operations.” Japan’s telecommunications, finance, and power are deeply linked to the information base for Japan-US joint operations. MirrorFace’s continued targeting of Japan’s defense, space, semiconductor, and aerospace technology is because Japan’s civilian technology is directly linked to US military equipment systems and operational plans.

In January 2026, the US nominated the Deputy Commander of INDOPACOM as the next commander of the NSA/Cyber Command (Nextgov/FCW, January 2026). Given that INDOPACOM’s jurisdiction includes China, Japan, and Taiwan, this appointment is a clear signal that cyber and counter-China/Japan defense have been unified.

Motive Layer 2: Defense of Dollar Hegemony and US Treasuries

A deeper motive concerns the structure of US financial hegemony. Japan is the world’s largest holder of US Treasuries, holding approximately USD 1.13 trillion (approx. ¥176.7 trillion) (Forbes Japan, January 2026; US Treasury data). Japan has maintained this position for over a decade.

In 1997, when Prime Minister Ryutaro Hashimoto remarked that he sometimes “felt the urge to sell US Treasuries,” the Dow Jones posted its largest decline since Black Monday in 1987 (Nikkei Business). If Japan’s financial system were attacked, the impact on the US Treasury market and dollar hegemony would be incalculable.

If CRINK were to infiltrate Japan’s megabanks’ systems and steal or destroy US Treasury transaction data, settlement systems, and foreign-reserve data, the damage would not stop in Japan. It would shake US financial hegemony itself through disruption of dollar-denominated settlement systems, loss of confidence in the US Treasury market, and abnormal yen-dollar exchange rate swings. This is why the US prioritized “financial institutions” in the Glasswing context.

Motive Layer 3: Investment Asymmetry in the Genesis Mission

The Genesis Mission structure (a Japan-US joint scientific AI project) can be read with the same logic. Japan invests ¥80 billion over five years; the US side “provides” AI models and computing resources. What Japan provides is not only funds but also scientific data held by national laboratories, universities, and manufacturers (Business+IT, June 2026). Japan’s unique research data in fusion, quantum, and biotech would be integrated into US AI platforms.

The Three-Layer Structure Integrated—Japan Standing at “Where Goodwill Meets National Interest”

To summarize: the motives behind the US’s urgency in inviting Japan into Glasswing form a three-layer structure.

  • Reinforcing weak points in the military integration network (securing INDOPACOM’s integrated defense posture
  • Defense of dollar hegemony and the US Treasury market (protecting the financial system of the world’s largest US Treasury holder)
  • Maintaining technological hegemony over China (integrating Japan’s advanced research and industrial data into US AI platforms)

This recognition does not mean “therefore the US cannot be trusted.” Alliance relationships always function at the intersection of shared interests and each party’s national interests. What matters is that Japan, having accurately recognized this structure, makes a conscious shift from “the side that is granted” to “an equal negotiating party.”

That Minister Katayama remarked that “our country’s unique systems may work to our advantage” is precisely the beginning of that shift. A minister who knows the core is beginning to find strategic value in Japan’s uniqueness. That is a positive development for Japan.

Chapter 5  Strategic Redesign: From “Participating” to “Participating as an Equal”

⏱ Time Limit: 12 Months at Most
Within the “6–12 months” timeline that Anthropic has warned about, there is no room for repeated “deliberation,” “discussion,” and “intra-ministerial coordination.” The following proposals, in order of priority, are action guidelines to begin executing “right now.”

Proposal 1 [Top Priority]  Immediate Establishment of a “National Cyber Director”

Establish a “National Cyber Director” post with real authority to unify cross-cutting coordination among NCO, NISC, METI, AISI, and the FSA.

  • Holds “same-day convening authority” when a frontier AI’s capability threshold is exceeded
  • Centralizes threat intelligence sharing and response requests to critical infrastructure operators
  • Establishes 24-hour real-time information-sharing channels with the US, South Korea, the UK, and others
  • Serves as the dedicated body for participation negotiations in international programs such as Glasswing

Proposal 2  Institutionalizing “Public-Private Intelligence Integration”

  • Mandate immediate sharing of AI cyber threat intelligence for the 16 critical infrastructure sectors under the Economic Security Promotion Act
  • Institutionalize regular and emergency meetings between critical infrastructure CISOs and the National Cyber Director
  • Build J-ISAC++ (an enhanced Information Sharing and Analysis Center) as a platform enabling real-time sharing of Glasswing-type vulnerability information

Proposal 3  Accelerating and Expanding the “Japanese Glasswing”

Japan’s Glasswing-equivalent initiative launched in early May 2026 (Masaaki Taira, former Minister of Digital Affairs, T4IS2026, May 13, 2026). But “launching” is not “completing.” The Phase 1 centered on finance must be expanded rapidly, and transition to Phase 2 covering energy, telecommunications, and healthcare must be accelerated.

  • Accelerate deployment of AI scanning tools to the power, railway, telecommunications, and healthcare sectors as Phase 2 of Japanese Glasswing
  • Accelerate “Trusted Corridor” negotiations with the US to secure conditional access to Mythos-level capabilities
  • Progressively disclose participating organizations as a signal of defensive resolve to domestic and international audiences
  • Set and publish quantitative targets (scans completed, vulnerabilities discovered, patch-application rates) to demonstrate transition from “launched” to “operational and delivering results”

Proposal 4  Emergency Measures for an “AI Cyber Defense Budget”

  • Create an “AI Cyber Defense Allocation” within defense and economic security budgets to financially support adoption by critical infrastructure operators
  • Five-year intensive investment in security talent development; build national capacity to execute the scan-verify-patch cycle
  • Fundamentally strengthen cybersecurity support for SMEs from the standpoint of protecting large corporations’ supply chains

Proposal 5  Establishing “Transparency and International Communication”

  • Disclose participating organizations (to the extent possible) and communicate internationally the establishment of a defensive posture
  • Elevate AI cyber cooperation within the Quad (Japan-US-Australia-India security framework) and the Japan-US, Japan-UK, and Japan-EU frameworks to a formal agenda item
  • Deepen Japan-US-South Korea trilateral cooperation on the North Korean IT worker issue, and strengthen corporate awareness and border-control measures

Proposal 6  Explicit Negotiation of Data Sovereignty and Participation Terms

Establish as explicit written contract what Japan “gives away” in participating in Glasswing.

  • Require prohibition on secondary use of scanned code and vulnerability information to be written into the contract with Anthropic, with verification by an independent third-party body
  • Negotiate as a contractual condition the geographic jurisdiction of servers processing Japan’s critical infrastructure data (within Japan or in a jurisdiction agreed between Japan and the US)
  • Incorporate a “Japan research data sovereignty protection clause” into the ¥80 billion Genesis Mission investment
  • Redesign the Trusted Corridor framework not as “a mechanism for being granted access” but as “the product of equal-terms negotiation”

Proposal 7  Transform “Galapagos” into a Strategic Asset

Deliberately design and manage Japan’s unique systems, protocols, and practices as “informational robustness” rather than “weaknesses.”

  • Position the “maintenance and reinforcement of Japan-specific specifications” in financial, power, and telecommunications infrastructure as a security policy, separate from international standardization
  • Launch an independent research project to quantitatively evaluate the informational robustness of the “Galapagos character” as a joint project of METI, the Ministry of Defense, and the FSA
  • Strategically use Glasswing scan results to identify what is strong and what is weak in Japan’s unique systems, and deliberately preserve what is strong
  • Establish a dedicated team to turn the areas Minister Katayama indicated “may work to our advantage” into policy

Conclusion—From “a Nation That Is Protected” to “a Nation That Protects—and Strikes Back”

Japan’s Mythos participation is not a story of failure.

It was a rare “catalyst” that simultaneously made visible five underlying problems surrounding Japan’s cybersecurity: structural delay in decision-making, vulnerabilities unique to Japan’s infrastructure, technological asymmetry, the information-sovereignty dilemma, and the United States’ true motives. These are problems that would not have surfaced in policy discourse without this participation process. In that sense, the “Six-Week Void” brought Japan an opportunity to confront head-on the question of cyber sovereignty.

But a “catalyst” means nothing unless it is utilized.

The reasons the US pressed for Japan’s Glasswing participation are not goodwill alone. Japan is the world’s largest holder of US Treasuries, a pillar supporting dollar hegemony, and a node in INDOPACOM’s military integration network. The US judgment that “Japan cannot be left on the outside” arises where the logic of alliance and the logic of national interest overlap.

What matters for Japan is not to view this structure through a lens of victimhood, but to recognize it as “a source of negotiating leverage.” The fact that the US needs Japan is the basis for Japan to demand participation on equal terms. The perspective that Minister Katayama suggested—“our country’s unique systems may work to our advantage”—goes to the heart of that negotiating leverage.

From “a nation that is protected” to “a nation that protects.” But “protecting” does not mean only defending. It means designing one’s own uniqueness as a strategic asset, codifying data sovereignty, and standing as a negotiating party even amid technological asymmetry. That is also “striking back.”

What Mythos participation laid bare was not Japan’s weakness but the outline of a strength Japan has not yet mobilized. The time has come to design that outline as deliberate strategy.

Key References

Primary Sources: Anthropic Official

  • Anthropic, “Expanding Project Glasswing,” June 2, 2026
  • Anthropic, “Project Glasswing: Securing critical software for the AI era,” April 7, 2026
  • Anthropic, “Project Glasswing: An initial update,” May 2026
  • Anthropic, “Disrupting the first reported AI-orchestrated cyber espionage campaign (GTG-1002 report),” November 2025
  • Anthropic, “Claude Mythos Preview System Card,” April 2026 (source for CyberGym 83.1% and Cybench 100% benchmark figures)

Government, Regulatory, and International Organizations

  • Financial Services Agency / Bank of Japan, “Short-term response measures for financial institutions in light of threats posed by frontier AI,” May 22, 2026
  • National Police Agency of Japan, “Report on the MirrorFace group’s cyberattack campaigns,” January 2025
  • Government of Japan, “Cybersecurity Strategy 2025-2030,” December 23, 2025 (National center of Incident readiness and Strategy for Cybersecurity)
  • ODNI, “Annual Threat Assessment 2026,” March 2026
  • Naval News, “New INDOPACOM Mission Network links allies during Balikatan,” May 2026
  • MOFA, “The 10th Japan-U.S. Cyber Dialogue,” June 19, 2025

Think Tanks and Academic Institutions

  • CSIS, “Norms in New Technological Domains: What’s Next for Japan and the United States in Cyberspace,” June 17, 2025
  • CSIS, “Japan’s Present and Future National Security Strategy: Five Key Challenges to Watch,” February 17, 2026
  • The Diplomat, “How Japan’s Active Cyber Defense Is Changing Its International Cooperation,” September 19, 2025
  • Alan Turing Institute CETaS, “AI Cooperation Trajectories: Adversaries and Geostrategic Competitors,” March 2026
  • Nextgov/FCW, “Experts see NSA nominee’s Pacific experience as a boost to US cyber posture on China,” January 2026

Specialist Media

  • Nikkei, “Government and financial institutions to receive access rights to AI ‘Mythos’: Minister Katayama announces,” May 22, 2026
  • ITmedia, “Japanese government acquires access rights to AI ‘Mythos’,” June 4, 2026
  • Forbes Japan, “US debt exceeds $38 trillion; Japan continues as top holder,” January 7, 2026
  • Infosecurity Magazine, “OpenAI and Anthropic LLMs Used in Critical Infrastructure Cyber-Attack,” May 2026
  • IT Pro, “CRINK attacks: which nation state hackers will be the biggest threat in 2026?,” December 2025
  • Ministry of Finance, Minister Katayama press conference summary, June 3, 2026 (https://www.mof.go.jp/public_relations/conference/my20260603.html)—primary source for Glasswing participation, handling of participant names, and security enhancement policy
  • TBS News Dig, Minister Katayama interview on Glasswing participation, broadcast June 3, 2026
  • Mainichi Shimbun, June 3, 2026

Prior Reports by This Institute

[Disclaimer] The information in this paper is based on publicly available information and does not represent the official views of any government or specific company.

Glossary (Alphabetical)

ACD (Active Cyber Defense)

Rather than responding after an attack, ACD proactively intervenes in attackers’ networks and systems to neutralize attacks before they succeed. Japan’s Active Cyber Defense Act passed in May 2025.

AISI / AI Safety Institute

A government body established in both the UK and Japan to evaluate and research AI safety. The UK AISI independently assessed Mythos as “a clear step above other frontier models.” Japan’s version is established within IPA and is responsible for evaluating frontier AI and setting standards.

APT (Advanced Persistent Threat)

A collective term for sophisticated hacker groups that are backed by—or act for—nation-states. They are characterized by “advanced” technical capability, “persistent” long-term covert presence, and “threat” as organized attacks. Known examples include APT28 (Russian-linked), APT33 (Iranian-linked), Lazarus Group (North Korean-linked), and MirrorFace (Chinese-linked).

Critical Infrastructure

A collective term for systems and facilities indispensable to the normal functioning of society and the economy, including power, water, finance, telecommunications, healthcare, transportation, and government functions. Japan’s Economic Security Promotion Act designates 16 sectors as “critical infrastructure.”

CRINK

An acronym for China, Russia, Iran, and North Korea—a collective term for an authoritarian-state coalition. These four countries informally share technology, intelligence, and malware. China’s acquisition of Mythos-level AI effectively means CRINK shares that capability.

Data Sovereignty

The right and capacity to keep one’s own data under one’s own laws and control. The core issue in Glasswing participation: ensuring that management rights and prohibition on secondary use are secured when Japan’s critical infrastructure code and vulnerability information pass through Anthropic’s systems.

DDoS (Distributed Denial of Service) Attack

A large number of computers simultaneously flood a server or network with traffic, causing it to overload and become non-functional. Used in the wave attacks targeting 46 Japanese organizations in 2025.

Galápagos Character

An expression describing how Japanese products, systems, and practices evolved in isolation from international standards, developing uniquely. This paper reframes the “Galápagos character” of Japan’s financial and infrastructure systems—their proprietary specifications and protocols—as a paradoxical “informational robustness” that is difficult for CRINK to analyze.

GTG-1002

A Chinese government-backed hacker group. In September 2025, it exploited Anthropic’s AI coding tool “Claude Code” to conduct intrusion operations against approximately 30 global organizations in chemical manufacturing, technology, finance, and government. The first empirical case in which 80–90% of attacks were autonomously executed by AI (Anthropic official report, November 2025).

INDOPACOM / US Indo-Pacific Command

The US military’s unified command headquartered in Hawaii, with a jurisdiction covering China, Japan, Taiwan, and Australia. In May 2026, it tested the zero-trust integrated military network “IMN” with Japan, the Philippines, Australia, and others. Japan’s cyber infrastructure is positioned as a node in this network.

J-ISAC++

An enhanced version of Japan’s Information Sharing and Analysis Center, as proposed in this paper. A platform enabling critical infrastructure operators, government agencies, and private companies to share AI cyber threat information in real time—a development of the US-style ISAC (Information Sharing and Analysis Center).

MirrorFace

A Chinese government-backed hacker group (linked to APT10). Targeting Japan as its primary focus, it has been confirmed to have attempted intrusions into over 200 government agencies, defense organizations, space research centers, and advanced technology companies between 2019 and 2024 (National Police Agency of Japan, January 2025 report).

Ministerial Silos

A characteristic of Japan’s administrative structure in which each ministry operates within its own jurisdiction, making cross-ministerial information sharing and decision-making difficult. One of the main causes of the “Six-Week Void” identified in this paper.

Open-Source AI

AI models whose design, weight parameters (training results), and training code are publicly available for anyone to use or modify free of charge. If a high-capability model is released without safety measures, attackers can exploit it directly.

Ransomware

Malicious software that encrypts a computer’s files or systems, rendering them unusable, and demands a “ransom” to restore them. Fifty-seven percent of ransomware damage in Japan is concentrated in SMEs (as of 2026), making them an entry point into large corporations’ supply chains.

Trusted Corridor

A proposed special framework allowing allied nations such as Japan and India to participate in US programs such as Glasswing while meeting data-sovereignty requirements—a mechanism for conditional access to sensitive AI models. Negotiations are progressing between Japan and the US. This paper recommends redesigning it not as “a mechanism for being granted access” but as “the product of equal-terms negotiation.”

Vulnerability

A security flaw or weakness in software or a system. Exploitation by attackers can lead to unauthorized access, data leaks, or system outages. A “zero-day vulnerability” is one unknown to anyone (with zero days of countermeasures available).

Author: Miho Funayama
Director, Japan Institute for Crisis Management / Research Fellow, Middle East Asia Intelligence Strategy Institute
B.A. in International Politics, Sophia University; M.A. in International Political Economy, Philosophy, and Psychology, Aoyama Gakuin University Graduate School.
Served at Canon Inc., specializing in patent research and analysis of international standards and emerging technologies. Held the position of Vice International Secretary of ISO/IEC JTC1 SC28 (Office Equipment), leading the development and coordination of international standards through multilateral negotiation processes.

Research Focus:
Specializes in the structural analysis of decision-making and behavioral patterns through systematic linguistic and behavioral analysis methodologies. Conducts research and analysis in security intelligence from the perspectives of PSYOP (Psychological Operations), information warfare, and crisis management policy. Drawing on an interdisciplinary foundation in international politics, psychology, and philosophy, focuses on elucidating the mechanisms of cognitive domain intervention by state and non-state actors.

関連記事
【追記版】AIサイバー兵器が盗まれる日  The Day AI Weapons Are Stolen【Updated】
2026年4月7日、世界最強のサイバーAIが「盗まれた」。これは事故ではなく、安全保障の問題だ。 【追記版】AIサイバー兵器が盗ま…
2026年4月23日 2026年5月9日
関連記事
ロシアが「犯罪者」を「国家資産」に変える日 The Day Russia Turns Criminals into State Assets
ロシアが「犯罪者」を「国家資産」に変える日 ——LeakBase管理者逮捕が示す、イラン戦争下の新たなサイバー戦略 The Day Russia …
2026年3月31日 2026年4月30日
関連記事
新幹線も霞が関も狙われている Shinkansen and Kasumigaseki Are Both Under Threat
中国のハッカー集団は今、日本の何を狙っているのか。グループ別の標的・手口・日本固有の脆弱性を最新情報に基づき日本語で初…
2026年4月5日 2026年5月15日