銀行を狙う攻撃者が、AIを使うことで従来の7倍の速さでシステムの弱点を見つけられるようになった。欧州の大手銀行は、その現実を前にして1400億円を動かした。
欧州銀行7行、Mistral AIに1400億円を出資
BNPパリバら7行が選んだ相手
2026年5月、フランスのAI企業Mistral AI(ミストラル・エーアイ)が銀行向けサイバーセキュリティAIの本格展開を表明した。受け皿となったのは、BNPパリバ、クレディ・アグリコルなど欧州の大手銀行7行によるコンソーシアム(連合体)だ。総額8億3000万ユーロ、日本円で約1400億円が出資される。
資金はパリ郊外に建設する巨大なAI専用コンピューター施設に充てられる。銀行が日々扱う膨大な顧客データや取引記録を守るための「自前の防衛インフラ」だ。
HSBCは昨年すでにMistralと提携し、行内のシステムでAIを稼働させている。顧客データを外部サーバーに送らず、銀行の施設内で完結させる仕組みを整えてきた——金融機関にとっては規制上の必須条件に近い設計だ。
米国VCなしで作るパリのGPU基地
今回の調達が異例なのは、米国の投資ファンド(ベンチャーキャピタル)が一切含まれていない点だ。欧州の銀行だけで1400億円を出した。
ChatGPTを作ったOpenAIやGoogleのような米国AI大手は強力な技術を持つが、米国の法律と投資家の論理で動く。銀行の機密データを米国企業のサーバーで処理することは、欧州の個人情報保護規制(GDPR)との兼ね合いや、地政学上のリスクも伴う。
「欧州のデータを欧州で守る」——今回の出資は、その意思を金額で示したものだ。Mistralの企業価値はすでに約2兆円に達しているが、銀行が動いた理由は投資リターンではない。
では、なぜ今なのか。攻撃側では、すでに何かが変わっている。
なぜ今なのか——AIが攻撃を7倍速にした
銀行のシステムには常に「穴」がある。ソフトウェアのバグ、設定の漏れ、古いプログラムの継ぎ目——完璧なシステムは存在しない。攻撃者はその穴を探し、銀行側は見つかる前に塞ぐ。この鬼ごっこが、AIの登場でルールごと変わった。
バッファー期間は3〜5ヶ月しかない
セキュリティ会社パロアルト・ネットワークスの脅威インテリジェンス部門「Unit 42」が2025年に発表した報告によれば、AIを使うとシステムの弱点を見つける速度が従来の7倍になる。
これが何を意味するか。これまで銀行のセキュリティチームには、穴が発見されてから塞ぐまでに、ある程度の時間があった。その猶予が今、3〜5ヶ月まで縮んでいる。
3ヶ月——四半期に一度の決算発表よりも短い時間で、銀行はシステム全体の弱点を見つけ、修正し、本番環境に適用しなければならない。一方、攻撃者はAIを使って同じ作業を7倍の速さで進めている。先に穴を見つけるのが、もはや攻撃者側になっている。
アクセンチュアが2025年に銀行のセキュリティ担当役員を対象に実施した調査では、80%が「攻撃者の進化に追いつけていない」と回答した。危機感の表明ではなく、実態の告白だ。1400億円の出資を急いだ理由は、ここにある。
GoogleがAIゼロデイ攻撃を初確認
事態をさらに深刻にしたのが、Googleが公表した報告だ。
ゼロデイ攻撃とは
「ゼロデイ攻撃」とは、まだ誰にも知られていない脆弱性を突く攻撃のことだ。穴の存在すら知られていないのだから、防ぎようがない。これまでのゼロデイ攻撃は、人間のハッカーが長時間かけて脆弱性を探し出し、攻撃の手順を作り上げていた。
Googleの脅威分析チーム(Threat Intelligence Group)が2025年に初めて確認したのは、AIが自らその手順を考え出したケースだ。人間が教えていない攻撃方法を、AIが独自に編み出して実際に使用した。欧州中央銀行(ECB)は金融機関向けの公式報告書の中でこれを「ゲームチェンジャー」と表現し、脆弱性への対応時間が「数週間から数時間」に縮む可能性を公式に認めた。
攻撃が速くなるだけなら、防御も速くすればいい。だがAIが人間の想定外の手口で攻撃してくる時代には、速さだけでは追いつかない。同じAIで対抗するしかない——欧州銀行7行がMistralに1400億円を賭けたのは、そういう判断だ。
Mistralが銀行向けに用意したもの
個別開発から「既製品」への転換
これまで銀行のセキュリティAIは、各行が個別に作るものだった。自分たちの業務フローに合わせ、独自のルールを組み込み、何年もかけてシステムを育てる——そのやり方では、AIで武装した攻撃者の進化に追いつかない。
Mistralが打ち出したのは、その前提を崩すことだ。銀行がすぐに使える「既製品の銀行専用セキュリティAI」を作り、導入するだけで動く仕組みに変えた。各行がゼロから開発する必要はない。
フランスの郵便銀行ラ・バンク・ポスタルは2026年5月、Mistralと3年間の契約を結んだ。従来なら数年がかりだった独自システムの構築を省き、Mistralの銀行専用AIをそのまま行内に組み込む——「作るのではなく、使う」転換の最初の事例だ。
AIが24時間見張り、銀行専用の目で判断する
Mistralが用意したのは、銀行のセキュリティ監視チーム——SOC(Security Operations Center、セキュリティ監視センター)——の仕事を代わりに担うAIだ。SOCとは、銀行のシステムに流れる膨大なアクセス記録を24時間見張り、不審な動きを検知する専門チームのことだ。
人間がやると何時間もかかる作業を、AIがリアルタイムで行う。汎用のAIが「この通信は怪しいかもしれない」と曖昧な警告を出すのに対し、銀行の取引パターンを学習済みのAIは「この一連の操作は送金詐欺の前兆だ」と具体的な判断を下せる。銀行専用に訓練されているからこそ出せる精度だ。
そしてこのAIは、銀行のシステム内部だけで動く設計になっている。データが自行の外に出ない——GDPRの下で営業する欧州銀行にとっては、決定的な条件だ。米国の大手AI企業がどれだけ賢いAIを作っても、機密情報が国境を越えた瞬間にリスクが生まれる。Mistralはその弱点を設計の段階から排除した。
この争いは欧州の外へ広がる
欧州銀行7行がMistralを選んだことで、この問いが世界に広がった——「銀行のAI防衛を、どこの企業に委ねるか」。
日本の銀行も名を連ねた
三菱UFJ銀行(MUFG)も今回のMistral出資に参加した。欧州中心のコンソーシアムに日本の大手銀行が加わったことは、この争いが「欧州の地域問題」ではないことを示している。
同じ論理が日本の銀行にも働いた——顧客データをどこの国の企業に預けるか、という問題だ。OpenAIやGoogleなど米国の大手AI企業も金融機関向けのセキュリティ展開を急いでいるが、「欧州のデータは欧州で処理する」というGDPRの壁は低くない。欧州と日本の銀行がMistralを選んだ決め手は、技術の優劣よりも、データの置き場所の問題に近い。
EU規制が世界標準を作る
この競争にルールが加わる。EUはAIの使い方を規制する「EU AI法」を2026年8月に完全施行する。欧州で事業を展開するすべての企業が対象だ。
かつて個人情報保護のGDPRが世界中の企業のデータ管理を変えたように、EU AI法も「金融AIの世界標準」になる可能性がある。欧州で使えないAIは、世界で使いにくいAIになりうる。
Mistralのアルチュール・ムンシュCEOは言う。「欧州に残された時間は2年だ」と。2026年内の稼働を目指すAIインフラが完成する前に、攻撃側がさらに進化すれば——1400億円を賭けた判断が正しかったかどうか、答えが出るのはそう遠くない。
