メインコンテンツへスキップ
AI News 14分で読める

アリババのClaude蒸留攻撃|2880万回・偽アカウント2.5万の全貌

「約25,000のアカウント、2880万回のクエリ。44日間、休みなく」。2026年6月10日付で米上院銀行委員会に送られたAnthropicの書簡は、AI業界に強烈な一石を投じた(Bloomberg, 2026年6月24日)。

書簡が名指しにしたのはアリババ傘下のQwen AIラボだ。偽のユーザーアカウントを大量生成し、Claudeのアジェンティック(AIが自律的に複数ステップを実行する)推論・ソフトウェアエンジニアリング・サイバーセキュリティ能力を系統的に「蒸留」したとAnthropicは主張する(CNBC, 2026年6月24日)。

Anthropicはこれを「これまでで最大の蒸留攻撃」と呼び、「米国のAI投資数千億ドルを地政学的競合相手への補助金に変える行為だ」と断じた。書簡はホワイトハウスにも同日提出されたと報じられている。

この記事はこんな人におすすめ
  • ClaudeやOpenAIなどのAPI利用者で、AIのセキュリティリスクと利用規約を理解したい開発者
  • 米中AI競争と輸出規制の動向を追うエンタープライズIT担当者・政策関係者
  • モデル蒸留の技術的仕組みをゼロから理解したい機械学習エンジニア

モデル蒸留攻撃とは何か。「コピペ」より質の悪いAI泥棒

モデル蒸留攻撃(adversarial distillation)は、従来のハッキングとは根本的に異なる。サーバーに侵入してコードを盗むわけでも、学習データを丸ごと持ち出すわけでもない。

やることは単純だ。ターゲットとなるAIに、大量の精巧なプロンプトを送り込む。出力された回答を収集し、自分たちのモデルを訓練するデータとして使う。繰り返すほど、自分たちのモデルが強力なモデルの「思考パターン」を吸収していく(Inc., 2026年6月)。

学術的には「知識蒸留(knowledge distillation)」として知られるモデル圧縮の正規技術だが、許可なく他社モデルに適用すれば知財侵害になる。DeepSeekのV4技術論文でも「On-Policy Distillation(OPD)」として10種類の教師モデルからの蒸留が記述されており、業界内で広く使われていることが確認されている(Just Security, 2026年)。

悪質な点は費用対効果にある。Anthropicは数千億円規模の研究開発投資でClaudeを構築した。蒸留攻撃者はその成果を、API利用料だけで「購入」できる。Anthropicはこれを「米国のイノベーション投資への搾取」と呼んでいる。

44日間の組織的侵害:タイムラインと全規模

Anthropicが特定した侵害の全容は以下の通りだ。

  • 期間: 2026年4月22日〜6月5日(44日間)
  • 使用アカウント数: 約25,000(すべて偽造)
  • 交換回数: 2,880万回
  • 標的能力: ソフトウェアエンジニアリング、アジェンティック推論、サイバーセキュリティ
  • 目的(Anthropicの主張): AnthropicのMythos Previewに匹敵する能力をQwenに持たせること

規模の大きさはこれ以前の事例と比較すると際立つ。Anthropicは2026年2月にも、DeepSeek・Moonshot AI・MiniMaxが合計24,000以上の偽アカウントを使い1,600万回以上のやり取りをしたと公表していた(Just Security, 2026年)。今回のアリババによる攻撃は、やり取り回数でその3件の合計を大幅に上回る規模だ(Tom’s Hardware, 2026年6月)。

SNS上では「1日あたり654,000回のクエリ。人間のエンジニアが意図的にプロンプトを打ち込める量ではない。自動化された工業的なプロセスだ」といった指摘も見られた。

なぜいま、米政府が動いたのか。輸出規制という「核オプション」

Anthropicの書簡送付から2日後、米商務省は電撃的な行動に出た。AnthropicのFable 5とMythos 5への「外国国籍者によるアクセス全面停止」を命じる緊急輸出規制指令を発令したのだ。これにより世界中のユーザーが最新モデルへのアクセスを失い、2026年6月22日時点でも停止は継続していた(Build Fast With AI, 2026年6月)。

輸出規制は従来、半導体や軍事技術に適用される概念だ。ソフトウェアサービスへの適用は異例中の異例であり、米政府がAIモデルそのものを「戦略的資産」として扱い始めたことを示す。

議会でも動きがある。共和党のビル・ハガティ上院議員と民主党のアンディ・キム上院議員が、蒸留攻撃を実施した組織をブラックリスト化・制裁できる条項を国防法案に追加する動きを見せている(TechTimes, 2026年6月)。これは超党派の動きだ。

Anthropicが告発を「議会への書簡」という形で公表したのも戦略的な判断と見られる。内部告発では独立検証が困難だが、上院委員会への公式書簡にすることで、政府の調査義務と報道の注目を同時に確保した。

アリババの反論と「ダブルスタンダード」批判

アリババはこれまでのところ、公式にはコメントを拒否している。「疑惑は独立した検証を受けていない」という事実も重要だ。告発内容のすべてはAnthropicの一方的な主張であり、アリババの弁明を聞いていない状態で断定的な判断をするのは早計だ(Business Standard, 2026年6月)。

Xでは批判的な声も上がった。あるユーザーは「Anthropicが許可なくRedditのデータで学習したとき(Redditは現在提訴中)、業界はそれを『イノベーション』と呼んだ。アリババがClaudeを蒸留に使えば『産業規模の攻撃』になる。基準が一貫していない」と指摘する(Yahoo Finance/Qz, 2026年6月)。

このダブルスタンダード批判には一定の正当性がある。「蒸留」を利用した能力獲得は、OpenAI・Google・Anthropicも自社モデル開発に知識蒸留技術を広く活用してきたとされる。「誰がやれば合法で、誰がやれば違法か」の線引きは、まだ法律や判例として確立されていない。

日本のAIユーザーと企業への影響

今回の事件は、日本のAI利用者にとっても無関係ではない。

短期的影響: Fable 5・Mythos 5の停止が日本ユーザーにも及んでいる。Claude CodeのAPI利用やエンタープライズ展開を検討している企業は、輸出規制リスクをBCP計画に組み込む必要が出てきた。

中期的影響: 蒸留攻撃が法的・規制的に取り締まられれば、AIモデルの利用規約はより厳格化される。APIアクセス量の監視、組織・用途の事前審査が義務付けられる可能性がある。Ramp AIインデックスが示す通り、大量API利用をしている企業はコンプライアンスリスクと向き合う必要がある。

競争環境への影響: アリババの主力AI「Qwen」が蒸留で強化されたなら、その成果は日本のエンタープライズAI市場にも流入する可能性がある。Anthropicのパートナーシップ戦略が示す通り、同社は日本市場での存在感を高めているが、輸出規制の長期化は信頼性に影響しうる。

蒸留攻撃 vs. 通常のAI学習:何が違うのか
項目通常の知識蒸留不正蒸留攻撃
対象モデル自社が保有するモデル他社の商用サービス
許可ありなし(利用規約違反)
アカウント正規ユーザー偽造アカウント
規模研究・最適化目的工業的(数千万回)
法的地位合法灰色〜違法(法整備中)

AIセキュリティ・米中AI競争の最新動向はメールで受け取れます。週1回、重要ニュースだけを厳選してお届けします。

詳しく見る

関連記事


本記事は公開情報をもとに構成しています。アリババによる関与はAnthropicの主張であり、独立した第三者機関による検証は行われていません。事実の確定には今後の法的・政府調査を待つ必要があります。

Share