Anthropicは2026年2月23日、中国のAI企業3社—DeepSeek、Moonshot AI(Kimi)、MiniMaxが約2万4,000件の不正アカウントを使いClaudeから1,600万回以上のやり取りを抽出する「産業規模の蒸留攻撃」を行ったと公表した。これはAI業界において、米国のフロンティアモデル企業が中国企業の不正蒸留を名指しで告発した最も具体的な事例であり、米中AI覇権争いの新たな火種となっている。OpenAIやGoogleも同時期に類似の告発を行っており、蒸留問題はチップ輸出規制と並ぶ技術安全保障上の主要課題に浮上している。
3社それぞれの攻撃手法と規模
Anthropicのブログ記事「Detecting and Preventing Distillation Attacks」は、各社の攻撃を個別に分析し、驚くほど詳細な数値を提示した。
MiniMaxが最大規模の攻撃者で、1,300万回以上のやり取りを生成した。エージェント型コーディングとツール連携能力の抽出が標的であった。Anthropicはこのキャンペーンを進行中に検知し、MiniMaxが訓練中のモデルをリリースする前に活動の全ライフサイクルを把握したと述べている。注目すべきは、Anthropicが新モデルをリリースした際、MiniMaxが24時間以内に攻撃を転向し、トラフィックの約半分を最新モデルの能力抽出に振り向けたという事実である。
Moonshot AI(Kimi) は340万回以上のやり取りを実行し、エージェント型推論、ツール使用、コーディング・データ分析、コンピュータ操作エージェント開発、コンピュータビジョンを標的とした。数百の不正アカウントを複数のアクセス経路にまたがって運用し、後期にはClaudeの推論トレースを抽出・再構成するより標的化されたアプローチに移行した。リクエストメタデータはMoonshootの上級スタッフの公開プロフィールと一致したとされる。Moonshotはこの直前に新オープンソースモデルKimi K2.5とコーディングエージェントをリリースしていた。
DeepSeekは3社中最小規模の15万回以上のやり取りだが、その目的が特異であった。推論能力の抽出に加え、Claudeを報酬モデル(reward model)として機能させるルーブリック型採点タスクを大量送信し、強化学習用の訓練データを生成させた。さらに、政治的反体制派や党指導者、権威主義に関する質問について「検閲安全な代替回答」をClaudeに生成させ、自社モデルの検閲訓練に利用していた疑いがある。Anthropicはアカウントを「ラボの特定の研究者」まで追跡したと主張している。
「ヒドラクラスタ」 検知を逃れる巧妙なインフラ
3社はいずれも中国からClaudeに直接アクセスできないため(Anthropicは安全保障上の理由で中国への商業アクセスを提供していない)、商用プロキシサービスを経由してアクセスした。これらのプロキシは「ヒドラクラスタ(hydra cluster)」と呼ばれるアーキテクチャを構築していた。一つのプロキシネットワークが同時に2万件以上の不正アカウントを管理し、蒸留トラフィックを無関係な顧客リクエストに混在させて検知を困難にしていた。一つのアカウントが凍結されると即座に新アカウントが代替する仕組みである。
Anthropicの検知手法は、IPアドレス相関、リクエストメタデータ、インフラ指標、業界パートナーからの確認の4層で構成されている。行動フィンガープリンティングシステムと蒸留攻撃パターン検出用分類器を開発・実装し、「同一の狭い能力領域を標的とした類似プロンプトが数百の連携アカウントから数万回」到着するパターンを識別したという。
OpenAIは「提訴」していない ロビイング戦略の実態
重要な事実として、OpenAIはDeepSeekを正式に提訴していない。サム・アルトマンは2025年2月の東京記者会見で「今のところDeepSeekを訴える予定はない」と明言した。代わりにOpenAIは議会ロビイングという戦略を選択している。
2026年2月12日、OpenAIは米下院中国特別委員会に正式メモを送付し、DeepSeekの従業員が「OpenAIのアクセス制限を回避し、難読化されたサードパーティルーターを通じてモデルにアクセスする手法を開発した」と告発した。「DeepSeekの次のモデルは、OpenAIや他の米国フロンティアラボが開発した能力にただ乗りする継続的な取り組みの文脈で理解すべき」とも述べている。
訴訟が起こされていない理由は複合的である。第一に、管轄権の問題、中国・杭州に拠点を置くDeepSeekに対して米国の判決を執行することは極めて困難である。第二に、著作権の不確実性、米国著作権局は2025年1月の報告書でAI生成出力には一般に「人間の著作物」としての著作権が認められないとした。第三に、フェアユース矛盾、OpenAI自身がニューヨーク・タイムズ訴訟で著作権素材での訓練は「フェアユース」だと主張しており、DeepSeekが同じ防御を使える。スタンフォード大のマーク・レムリー教授は「DeepSeekはOpenAIが著作権を持つものを何も取っていないため、利用規約は執行不能だろう」と指摘している。
蒸留はなぜ知的財産問題になりにくく、それでも脅威なのか
モデル蒸留はジェフリー・ヒントンらが2015年に体系化した正統な機械学習技術である。大規模な「教師モデル」の出力(確率分布を含む「ソフトラベル」)を用いて、小規模な「生徒モデル」を効率的に訓練する手法だ。問題は、この技術がAPIアクセスのみで、つまりモデルの内部パラメータやアーキテクチャに触れることなく、実行可能な点にある。
日本の法律専門家は早くからこの問題を認識していた。STORIA法律事務所の柿沼太一弁護士は、蒸留は教師モデルそのものを複製するのではなく入出力データから別のモデルを構築するだけであり、著作権侵害の「類似性」「依拠性」要件を満たさないと分析している。慶應義塾大学の奥邨弘司教授も「違法行為だったとまで断ずることは容易ではない」と指摘した。日本政府の知的財産戦略本部は2017年の第三次安倍内閣時代から蒸留をIP脆弱性として議論しており、契約ベースの保護が最も実効的だと結論づけていた。
技術的対抗策にも限界がある。Google DeepMindのSynthID-Textなどの出力ウォーターマーキングは有望だが、2025年2月のPanらの研究(ACL 2025発表)で、訓練データのパラフレーズ化やウォーターマーク中和化によって容易に除去できることが実証された。複数のウォーターマーク付きソースから同時に蒸留すると、信号が互いに打ち消し合う問題も判明している。
米中AI覇権争いにおける「蒸留の抜け穴」
蒸留問題は、米国のAI輸出規制体制における構造的な盲点を露呈させている。現行の規制はチップ(半導体)とモデルウェイト(パラメータ)を対象としているが、APIアクセスやモデル出力は規制対象外である。つまり、中国企業はチップを入手できなくても、米国モデルの出力を大量収集することで能力を移転できる。
Anthropicはこの点を明示的に国家安全保障と結びつけた。「蒸留攻撃は輸出規制を毀損する。中国共産党の管理下にある外国ラボが、輸出規制が守ろうとしている競争優位を蒸留によって侵食するからだ」と述べ、「これらのラボによる一見急速な進歩は、輸出規制が無効である証拠と誤って解釈されている。実際には、これらの進歩は米国モデルから抽出された能力に大きく依存している」と主張した。
しかし反論も根強い。Counterpoint Researchのニール・シャー副社長は「どのモデルも孤島ではなく、業界全体が再帰的学習に基づいて進化してきた」と指摘した。米国のAI企業自身がインターネット上の著作権コンテンツを許可なく訓練に使用してきたことへの「偽善」批判も存在する。RAND研究所のオースティン・ホーンエン・ワン氏はOpenAIの告発のタイミングに疑問を呈し、輸出規制強化を求めるロビイングとしての側面を示唆した。
実際、Anthropicの公表タイミングは戦略的である。トランプ政権が2025年後半にチップ輸出規制を一部緩和し、2025年12月にはNvidiaの一部チップの中国への直接販売を許可していた。Anthropicと OpenAIの告発は、この緩和傾向に対するカウンターナラティブとして機能している。
Anthropicの証拠はどこまで具体的か
Anthropicの公表は、これまでのどの米国AI企業よりも高い具体性を持つ。企業名の名指し、各社ごとの交信回数、帰属手法の説明、特定の行動パターン(24時間以内のモデル切替、検閲回避訓練データ生成など)を含んでいる点で、OpenAIの議会メモやGoogleの脅威インテリジェンス報告(10万回以上のプロンプトを検知したが企業名は非公開)を上回る。
ただし重要な限界もある。生ログや技術的アーティファクトは一切公開されていない。攻撃の正確な期間も開示されていない。蒸留によって中国モデルの能力がどの程度向上したかについて、Anthropicの幹部クライン氏は「意義ある」「実質的な」改善があったとしつつ、「正確に定量化はできない」と認めた。DeepSeek、Moonshot、MiniMaxの3社はいずれもコメント要請に応じておらず、反論も公式声明も出していない。
CrowdStrike共同創業者のドミトリ・アルペロヴィッチ氏は「中国AIモデルの急速な進歩の一因が蒸留による窃取であることは以前から明らかだった。今やそれが事実として確認された」と評価した。一方、BetterStackの分析は、Anthropicのセキュリティ開示が「技術的詳細に乏しく、抽象的で自己宣伝的な言語に偏っている」と批判しており、TTP(戦術・技術・手順)やIoC(侵害指標)の欠如を指摘している。
結論—蒸留は法的グレーゾーンだが地政学的には黒に近い
蒸留攻撃問題の核心は、技術的には合法すれすれだが、地政学的文脈では明確な脅威であるという二重性にある。現行の知的財産法、米国でも日本でも中国でも、は蒸留を直接規制する枠組みを持たない。著作権は適用困難であり、営業秘密法もAPIの公開出力には及びにくい。最も有効な法的手段は利用規約違反だが、国境を越えた執行は現実的ではない。
それでもAnthropic・OpenAI・Googleの3社が足並みを揃えて告発に踏み切った事実は、蒸留問題が単なるIP紛争を超え、輸出管理体制の実効性を問う安全保障問題に格上げされたことを意味する。今後は、APIアクセスや出力そのものを規制対象に含める「AI輸出管理法」の立法議論、業界横断の検知・共有体制の構築、そしてウォーターマーキング技術の耐性向上が焦点となるだろう。ただし、米国AI企業自身が他者のデータで訓練してきた経緯を踏まえれば、「蒸留は窃取」という主張が国際的な規範として確立するかどうかは、なお不透明である。
