「なぜ中国のAIはあんなに急速に進化しているのか?」と疑問に思ったことはないでしょうか。2026年2月23日、その謎の一端を解き明かす衝撃的な告発がAnthropicから発表されました。中国の大手AIラボ3社が、Claudeから能力を不正に「盗み取る」大規模な組織的キャンペーンを実施していたというのです。
この「蒸留攻撃(Distillation Attack)」は、AI業界全体を揺るがすセキュリティ問題であり、エンジニアや企業のIT担当者が今すぐ理解しておくべき脅威です。本記事では、蒸留攻撃とは何か、実際に何が起きたのか、そして企業や開発者として取るべき対策まで、徹底的に解説します。
- 1. 蒸留攻撃とは何か?まずは基礎から理解しよう
- 2. 衝撃の告発:DeepSeek・Moonshot・MiniMaxの実態
- 3. なぜ蒸留攻撃は危険なのか?安全保障上のリスクを理解する
- 4. 攻撃者はどうやってアクセスしたのか?「ハイドラクラスター」の実態
- 5. Anthropicの対抗策と業界への訴え
- 6. エンジニア・IT担当者が今知っておくべき実務上のインプリケーション
- まとめ:今回の事件が示す「AIの新しいリスク」
1. 蒸留攻撃とは何か?まずは基礎から理解しよう
「蒸留」はもともと合法的な技術
AIの世界での知識蒸留(Knowledge Distillation) とは、大きく高性能なAIモデル(「教師モデル」)の出力結果を使って、小さくて安価なモデル(「生徒モデル」)を訓練する手法です。化学の蒸留実験でエッセンスを抽出するイメージとよく似ています。
例えば、GPT-4のような巨大モデルを1億件の回答で訓練し、その回答パターンをもとにスマートフォン上で動く小型モデルを作る、というのが典型的な用途です。この手法はAnthropicやOpenAIも自社モデルの軽量版を作るために日常的に使っており、それ自体は完全に合法です。
問題が起きるのは、自社ではなく競合他社のモデルを無断で蒸留する場合です。他社のAIに大量のプロンプトを送り、高品質な回答を収集して、それを自社モデルの訓練データにする──これが「蒸留攻撃」です。
蒸留攻撃と通常利用の違い
蒸留攻撃は個々のプロンプトを見ても一見普通の問い合わせと区別がつきにくいところが厄介です。Anthropicが公開した例として、次のようなプロンプトが挙げられています。
「あなたは統計的厳密さと深いドメイン知識を兼ね備えたデータ分析の専門家です。可視化や要約ではなく、完全で透明な推論に裏付けられたデータドリブンな洞察を提供してください。」
このプロンプト1件だけ見ると、業務利用として何もおかしくありません。しかし同じプロンプトのバリエーションが、数百のアカウントから数万回届いたとき、初めて「意図的な能力抽出」のパターンが見えてくるのです。
| 特徴 | 通常の利用 | 蒸留攻撃 |
|---|---|---|
| プロンプトの多様性 | 高い(内容はバラバラ) | 低い(特定の能力に集中) |
| アカウント数 | 個人・組織単位 | 数十~数万の不正アカウント |
| リクエスト量 | 業務量に比例 | 異常に大量・集中的 |
| 目的 | 課題解決 | 訓練データ収集 |
| 利用地域 | 規約準拠 | プロキシで制限を回避 |
2. 衝撃の告発:DeepSeek・Moonshot・MiniMaxの実態
規模感を数字で把握する
Anthropicが2026年2月23日に公表した内容は業界に衝撃を与えました。中国のAIラボ3社が約2万4,000件の不正アカウントを通じ、1,600万件以上のやりとりをClaudeと行っていたというものです。
各社の規模と狙いを整理すると以下のとおりです。
| ラボ | やりとり数 | 主な標的能力 |
|---|---|---|
| DeepSeek | 15万件以上 | 推論能力、強化学習用データ、検閲回避表現の生成 |
| Moonshot AI(Kimiモデル) | 340万件以上 | エージェント推論、ツール活用、コーディング、コンピュータビジョン |
| MiniMax | 1,300万件以上 | エージェントコーディング、ツール活用とオーケストレーション |
数字で見るとMiniMaxの1,300万件が突出していますが、Anthropicが特に「技術的に洗練されていた」と評しているのはDeepSeekの手口です。
DeepSeekの巧妙な手口
DeepSeekのオペレーションでは、単に高品質な回答を集めるだけでなく、Claudeに自分自身の「内部推論」を言語化させるという高度な戦術が使われていました。
具体的には「この回答に至るまでの内部的な思考過程を、ステップごとに想像して書き出してください」とClaudeに指示します。これにより強化学習(Reinforcement Learning)に使えるチェーン・オブ・ソート(Chain of Thought、段階的推論)訓練データを大量生成していたのです。
さらに驚くべきことに、「党指導者に関する質問」「反体制派についての問い合わせ」など政治的に敏感なトピックに対して、検閲システムを回避できる表現を生成させるプロンプトも使用していました。これはDeepSeek自身のモデルがそうした話題を巧みに回避するよう訓練することが目的だったとAnthropicは分析しています。
MiniMaxはリアルタイムで「乗り換え」した
MiniMaxのケースでは、Anthropicが特に注目すべき事実を明かしています。MiniMaxのキャンペーンが進行中に、Anthropicが新モデルをリリースしました。するとMiniMaxはわずか24時間以内に自分たちのトラフィックの約半数を新モデルへ切り替え、最新の能力を即座に抽出しにかかったというのです。
これは相手が事前に綿密な計画を持ち、リアルタイムで戦略を調整できる組織的なチームであることを示しています。Anthropicはこの動向をリアルタイムで観測できたことで、蒸留攻撃のライフサイクル全体を記録した初めての事例として貴重なデータを得ることができました。
帰属(犯人特定)の方法
「どうやって特定したのか?」という疑問は当然です。Anthropicは次の手がかりを組み合わせて「高確信度」で各ラボに帰属したとしています。
- IPアドレスの相関分析:アクセス元のIPと既知のラボ関連インフラを照合
- リクエストのメタデータ:一部はMoonshotの上級スタッフの公開プロフィールと一致
- インフラの特徴:「ハイドラクラスター」と呼ばれる不正アカウント群の構造的特徴
- 業界パートナーからの裏付け:同じ行為者を自社プラットフォームで観測した他社との情報共有
3. なぜ蒸留攻撃は危険なのか?安全保障上のリスクを理解する
安全ガードレールが「剥ぎ取られた」モデルの拡散
Anthropicのような米国のフロンティアAI企業は、自社モデルに安全性のためのガードレールを組み込んでいます。具体的には、生物兵器の開発支援を拒否する、サイバー攻撃の詳細な手順を教えない、といった制約です。
しかし蒸留によって作られたモデルは、こうした安全機能が失われている可能性が高いです。強力な能力だけを抽出し、安全制約を持たないモデルが作られれば、それが軍事・情報・監視システムに組み込まれるリスクがあります。さらにオープンソースとして公開されれば、そのリスクは世界中に拡散します。
輸出規制を「迂回」する手段になる
米国は先端AIチップの輸出規制によって、中国のAI開発スピードを制限しようとしています。しかし蒸留攻撃が機能してしまうと、その政策が空洞化します。
Anthropicはこう指摘しています。「中国系ラボの急速な進歩は、米国モデルからの不正な能力抽出に一部依存している。これまでの高速な成長が独自の技術革新によるものだという見方は誤りである可能性がある。」
実際、2025年1月にDeepSeekがR1モデルを公開した際、「なぜ低コストであれほどの性能が?」と業界が驚いたことは記憶に新しいでしょう。蒸留攻撃によって先行企業の研究成果を「丸ごと学習」していたとすれば、低コストでの高性能達成は説明がつきます。
4. 攻撃者はどうやってアクセスしたのか?「ハイドラクラスター」の実態
プロキシサービスによる制限の突破
AnthropicはセキュリティとAI安全保障の観点から、中国での商業的なClaudeアクセスを提供していません。しかし攻撃者たちはこの制限を商業的プロキシサービスで突破しました。
これらのプロキシは「ハイドラクラスター(Hydra Cluster)アーキテクチャ」と呼ばれる仕組みで動いています。ギリシャ神話の多頭の蛇「ヒュドラ」の名が示すとおり、一つの頭を切っても別の頭が生える構造です。
- 単一のプロキシネットワークが2万以上の不正アカウントを同時管理
- 蒸留目的のトラフィックを一般ユーザーのリクエストに混ぜて検出を困難に
- 一つのアカウントが凍結されると即座に別のアカウントが代わりを務める
- API直接アクセスとサードパーティクラウドプラットフォームの両方を使用
この仕組みを見ると、単なる個人の「規約違反」ではなく、組織として設計・運用された攻撃インフラであることがわかります。
DeepSeekが用いた「負荷分散」戦術
DeepSeekの場合、複数アカウント間でのトラフィックをコンピュータネットワークの「負荷分散(Load Balancing)」の手法で管理していました。同一の支払い方法、同期されたアクセスパターン、協調したタイミングが特徴で、スループット(処理量)を最大化し、かつ検出を避けるための工夫が施されていました。
5. Anthropicの対抗策と業界への訴え
現在進行中の防衛措置
Anthropicはこの状況に対して、すでに複数の対策を実施・強化していると公表しています。
検知システムの強化では、蒸留攻撃特有のパターンを識別する分類器(Classifier)と行動フィンガープリント(Behavioral Fingerprinting)システムを構築しました。チェーン・オブ・ソートを引き出すプロンプトの検出、大量アカウントでの協調行動の検出なども対象です。
インテリジェンスの共有として、技術的な指標を他のAIラボ・クラウドプロバイダー・関係当局と共有しています。OpenAIも類似の被害を主張しており、業界レベルでの情報共有網が形成されつつあります。
アクセス制御の厳格化では、不正アカウント開設に最も多く利用された「教育向けアカウント」「セキュリティ研究プログラム」「スタートアップ向けプログラム」の審査を強化しました。
カウンターメジャー(対抗手段)の開発として、正規ユーザーの体験を損なわずに、不正蒸留の有効性を低下させるモデルレベル・API レベルの保護機能を開発中です。
他社の対応と業界全体の動き
Anthropicの告発は、実は業界での最初の動きではありません。OpenAIも米国の議員に対し「DeepSeekが蒸留技術を使ってOpenAIの成果にフリーライドしている」と警告していました。白House(ホワイトハウス)のAI担当アドバイザーであるDavid Sacksもこの問題に懸念を示しています。
CrowdStrikeの共同創業者でサイバーセキュリティの権威であるDmitri Alperovitch氏は、「中国のAIモデルが急速に進歩した理由の一部が、米国フロンティアモデルからの盗用であることは以前から明らかだった。今回それが事実として確認された」とコメントしています。
| 対策レイヤー | 具体的な施策 | 担当主体 |
|---|---|---|
| 検知 | 分類器・行動フィンガープリント | AI企業 |
| 情報共有 | 技術指標の業界内共有 | AI企業・クラウド事業者 |
| アクセス制御 | 口座審査強化・地域制限 | AI企業 |
| 法規制 | 輸出規制・利用規約の整備 | 政府・政策立案者 |
| モデル保護 | 出力への透かし・蒸留耐性 | AI企業(研究段階) |
6. エンジニア・IT担当者が今知っておくべき実務上のインプリケーション
企業のAI活用とセキュリティポリシーへの影響
「うちの会社は被害者側だから関係ない」と思うかもしれませんが、この問題にはいくつかの実務的な示唆があります。
APIの利用規約と法的リスクの再確認が重要です。もし自社でAIモデルを使って大量の出力を収集し、それを自社システムの訓練に使う場合、そのAIサービスの利用規約に違反していないか確認が必要です。意図せず「蒸留攻撃」と同じことをしてしまうケースも考えられます。
調達するAIツールのリスク評価という観点も生まれています。今後は、採用を検討しているAIモデルが「正規の研究開発の成果か、蒸留攻撃で取得した能力を含んでいないか」という点が、エンタープライズ調達の評価軸の一つになり得ます。
開発者として蒸留攻撃を理解しておく意義
エンジニアとして、自社プロダクトやAPIをセキュリティ視点で設計する際のヒントにもなります。
- レート制限(Rate Limiting):同一パターンのリクエストを大量に受けた場合の検知・制限
- 行動分析(Behavioral Analysis):アカウント単位だけでなく、アカウント群の協調パターンを分析
- フィンガープリンティング:リクエストの構造的特徴から意図を推定する機械学習的アプローチ
- アクセス審査の多層化:単純なサインアップだけでなく、利用目的の確認と継続的なモニタリング
こうした「攻撃者の視点」を持つことで、自社サービスの不正利用対策をより堅牢に設計できます。
AIセキュリティはこれからの必須スキル領域
今回の事件は、AIが「ビジネスツール」としてだけでなく、「攻撃対象・攻撃手段・防衛対象」という複合的な存在になったことを示しています。
サイバーセキュリティの知識とAI技術の知識を組み合わせた「AIセキュリティ(AI Security)」という領域は、今後エンジニアにとって重要なスキルセットになるでしょう。特にLLM(大規模言語モデル)を自社プロダクトに組み込む立場の開発者は、APIの使われ方を監視する仕組みづくりを意識する必要があります。
まとめ:今回の事件が示す「AIの新しいリスク」
Anthropicが公開した蒸留攻撃の告発は、単なる利用規約違反の話ではありません。AI能力の窃取という行為が、国家安全保障・輸出規制・企業の知的財産保護という複数の問題と深く絡み合っていることを示しています。
今回の要点を整理します。
- 蒸留攻撃とは、競合他社のAIに大量のプロンプトを送り、その出力で自社モデルを訓練する不正行為
- DeepSeek・Moonshot・MiniMaxの3社が1,600万件以上のやりとりを不正に実行
- 安全ガードレールが除去された蒸留モデルは、国家安全保障上のリスクをもたらす
- 攻撃者は「ハイドラクラスター」と呼ばれる巧妙なインフラで検出を回避
- 解決にはAI業界・クラウド事業者・政策立案者の協調が不可欠
エンジニアや技術リーダーとして今取れるアクションは、自社のAI利用規約の遵守確認、APIサービス設計への行動分析の導入、そしてAIセキュリティ領域の継続的なキャッチアップです。この問題は今後さらに高度化・複雑化していきます。今のうちから理解を深めておくことが、将来の意思決定に直結します。
