AnthropicがアリババQwen蒸留攻撃を米議会に告発|2880万回の最大規模
「Anthropicは自分のトレーニングデータがどこから来たのか説明できるのか」。Hacker Newsのスレッド(HN #48664814)では、今回の告発ニュースに対してこうした批判的なコメントが多くの支持を集めた。
2026年6月24日、Bloombergが報道したAnthropicの内部書簡は、米中AI競争を新たな局面へ引きずり込んだ。Anthropicはアリババとその傘下AI研究部門Qwen AIが、2026年4月22日から6月5日にかけて約2万5,000の偽アカウントを使い、Claude APIで2880万回以上の不正リクエストを実行したと主張している(Bloomberg, 2026年6月24日)。
- Claude APIを業務で使っており、利用規約や認証強化の動向が気になる開発者
- 米中AI競争の最前線として蒸留攻撃・モデル知財問題に関心があるエンジニア・研究者
- Qwen・DeepSeekなど中国発AIモデルを評価・比較している方
告発に至るまでの経緯
Anthropicが問題視した期間は2026年4月22日から6月5日の45日間だ。この間、アリババ傘下のQwen AIと関連するオペレーターが約2万5,000の偽アカウントを使いClaudeにアクセスし、2880万回以上のやり取りを実行したとAnthropicは主張する。
書簡の日付は6月10日。宛先は米上院銀行委員会のティム・スコット委員長(共和党)とエリザベス・ウォーレン筆頭委員(民主党)の両名だ。Anthropicはホワイトハウスにも同内容を伝えたとされる。Bloombergがこれを入手して6月24日に報道するまで、内容は非公開だった(Bloomberg, 2026年6月24日)。
Anthropicがなぜブログ告知ではなく議会書簡という形を選んだのかは明示されていない。ただし書簡の中で「アリババはトランプ政権の警告を無視して攻撃を続けた」と明記している点は、立法・制裁措置を求める政治的戦略の一環と読める。実際、ペンタゴンはこの書簡の2日前にあたる6月8日にすでにアリババを「中国軍事企業リスト」に追加しており、アリババ自身が同リスト取り消しを求めてDoD(米国防総省)を提訴するという複雑な情勢にある(CyberSecurity News)。
「ハイドラ・クラスター」の手口
Anthropicが公開している蒸留攻撃対策ページ(Detecting and preventing distillation attacks)によれば、今回の攻撃者が使ったのは「ハイドラ・クラスター」と呼ばれる手法だ。偽アカウントを多数束ねてネットワークを形成し、AnthropicのAPIおよびサードパーティのクラウドプラットフォームを経由してトラフィックを分散させる。蛇の頭を一つ切っても別の頭が生えてくるヒドラにちなんだ名称で、アカウントを1つBANしても次々と別のアカウントが出現する構造を表している。
技術的には4つのステップで構成される「敵対的蒸留(adversarial distillation)」が使われた。
- 合成データ生成:Claudeの応答をそのまま訓練データとして収集する
- CoT(思考の連鎖)抽出:「この回答に至った理由を段階的に説明して」などのプロンプトでClaudeの推論過程ごと吸い出す
- データクリーニング:Claudeの高品質な応答を使い、粗いデータを選別・精製する
- 報酬モデル構築:Claudeの判断を基準として自社の強化学習用報酬モデルを訓練する
狙いを絞ったのは「ソフトウェアエンジニアリング」と「エージェント型推論」の2分野。これらはAnthropicの最先端モデルMythos Previewの中核能力であり、研究開発投資の集中箇所だ(CNBC, 2026年6月24日)。
2026年2月のDeepSeek事件との比較
今回の告発を理解するには、4ヶ月前の前例を参照する必要がある。2026年2月23日、AnthropicはDeepSeek・MiniMax・Moonshot AIの3社による蒸留攻撃を公式ブログで告発した(Anthropic公式, 2026年2月)。
| 項目 | 2月事件(3社合計) | 今回(アリババ単体) |
|---|---|---|
| 偽アカウント数 | 約2.4万件 | 約2.5万件 |
| 総やり取り数 | 約1,600万回 | 2,880万回 |
| 攻撃主体 | DeepSeek・MiniMax・Moonshot | アリババ(Qwen) |
| 開示方法 | 公式ブログ投稿 | 米上院書簡 |
| 規模区分 | 「産業規模」 | 「史上最大規模」 |
2月事件では、MiniMax単体で1,300万回・Moonshot AIが340万回を記録した。アリババ単独での2,880万回という数字はその累計を上回る。また注目すべきは開示手段の変化だ。2月はブログ公表という「情報共有」的スタンスだったが、今回は上院銀行委員会への書簡という政治的・立法的手段に踏み込んだ。
米政府の対応と市場の反応
書簡が公開された6月24日、アリババの米国預託証券(ADR)は3%超下落し99ドル10セント(99.10ドル)に。香港市場では4.9%安となり16ヶ月ぶりの安値に沈んだ(Bloomberg, 2026年6月25日)。
政府側も動いた。2026年4月、ホワイトハウスは国家安全保障・技術メモ第4号(NSTM-4)を発出し、外国による蒸留キャンペーンを「意図的かつ産業規模での米国AIシステム窃取作戦」と位置付けた。上院のビル・ハガティ(共和党)とアンディ・キム(民主党)は超党派で、不正な形で米国AIモデルの出力にアクセスした中国企業をブラックリストに載せる制裁条項を国防権限法の修正案として提出する計画を発表した(CNBC)。
一方、ペンタゴンはこの告発書簡の2日前にあたる6月8日にアリババを「中国軍事企業リスト」に追加。アリババは同リストからの削除を求めてDoD(米国防総省)を提訴し「根拠のない指定だ」と反論しているが、Anthropicの蒸留告発については6月25日時点でコメントを拒否している(The Next Web)。
「Anthropicも同じことをしている」批判の声
Hacker Newsのスレッド(HN #48664814)では、今回の告発に懐疑的・批判的なコメントが多くの支持を集めた。最も支持を得たのは「Anthropicは自分のトレーニングデータがどこから来たのか説明できるのか」という問いかけだった。
批判の構造はシンプルだ。米国のAIラボは人間が作成した書籍・ウェブコンテンツ・コードを著作権者の許可なく大規模に使い、自社モデルを訓練してきた。その産物であるモデルの出力を他社が使うことを「窃盗」と呼ぶのは二重基準ではないか。イーロン・マスクは2026年2月のDeepSeek事件でもこの論点を持ち出し「Anthropicは大規模なデータ窃盗の有罪だ」と投稿している(Yahoo Finance)。
法律の専門家の見方は慎重だ。ウィンストン&ストロウン(Winston & Strawn)のAI知財分析では「蒸留がIP窃盗かどうかは現行の著作権法では白黒つけにくい。AIが生成した出力には著作権が成立しない可能性があり、蒸留はテキストではなく行動をコピーするためだ」と指摘している(Winston & Strawn)。現行法での争点はあくまで「偽アカウントを使ったAPI利用規約違反」であり、訴訟ではなく議会への書簡という形を取ったのもその法的限界を反映している。
また、Claude Opus 4.8が中国語での問いかけに「私はQwenです」と答えるという奇妙な事象も2026年5月に話題になった。「AnthropicがQwenを蒸留した」という逆方向の疑惑としてX上で拡散したが、Kilo.aiの検証では中国語アイデンティティのバグ、またはQwenモデルをClaudeとして提供するプロキシ詐欺サービスによるもので、蒸留の証拠ではないと結論付けた(Kilo.ai, 2026年)。
APIを使う開発者への実際の影響
日本でClaudeを業務利用している開発者への直接影響は現時点では限定的だが、注意すべき点が3つある。
第一に、Anthropicはすでに新規API申請の審査を強化している。研究・教育・スタートアップ向けプログラムの認証が厳しくなっており、2026年以降はオンボーディングに追加の身元確認が求められるケースが増えている。
第二に、トランプ政権の輸出規制命令により、Fable 5とMythos 5は外国人ユーザー(日本在住者を含む)が利用できなくなった(Nextgov/FCW)。日本企業が最新Claudeを利用するにはこの制約が障壁となりうる。
第三に、蒸留攻撃への技術的対抗措置として、AnthropicはFable 5のシステムカードにひっそりと「蒸留検知時は応答を変更する」機能を組み込んでいた。開発者への通知なしの仕様変更として批判を受け、Anthropicは後に方針を撤回・公開した(OpenTools)。今後のモデルでも同様の対策が組み込まれる可能性は否定できない。
- 合成データ生成: 大量のプロンプトをAPIに送り、高品質な応答を訓練データとして収集する
- CoT抽出: 「この回答に至った理由を段階的に説明して」と促し、推論の過程ごと吸い出す
- データクリーニング: Claudeの応答でデータの品質を選別・精製し、訓練データを強化する
- 報酬モデル構築: Claudeの判断を基準にして、自社モデルの強化学習用報酬モデルを訓練する
この4ステップを2.5万の偽アカウントで45日間実行した結果が「2880万回」という数字だ。
蒸留攻撃の背景と技術を詳しく理解したい方へ
Claudeに対する蒸留攻撃の仕組み、DeepSeek・Moonshot・MiniMaxによる2月事件の全詳細は別記事で解説している。今回の事件をより深く理解するための必読記事。
関連記事
- AI蒸留攻撃とは|DeepSeekらが2.4万偽アカウントでClaude能力を抽出か
- 中国がAI研究者の海外渡航を制限|DeepSeek・アリババ民間企業に拡大、日本への影響は
- Claude Mythosが変えた米国AI政策|トランプ政権のCAISI事前審査導入の全経緯
本記事の事実関係はBloomberg(2026年6月24日)、CNBC(2026年6月24日)、CyberSecurityNews等の報道に基づく。アリババによる蒸留攻撃はAnthropicによる告発であり、同社は6月25日時点でコメントを拒否している。法的な確定判決や訴訟は現時点では存在しない。為替・株価は執筆時点のものであり変動する。