アリババQwenが仕掛けた「2880万件の蒸留攻撃」
蒸留攻撃(distillation attack)とは、強力なAIモデルの出力を大量収集し、それを教師データとして自社モデルを鍛える手法だ。 Claudeの推論能力や文書処理パターンを盗み取り、Qwenの性能向上に転用することが目的とみられる。
2万5000以上の不正アカウントから2880万回超のインタラクション——その規模の異常さは、単なる個人の試みではなく、組織的な計画の存在を示す。 Anthropicがこれらのアカウントを検出・無効化した後に事実が明らかになったことで、地政学的文脈での対応強化が不可避となった。
この件が示すのは、モデルのウェイトを盗まなくても、APIアクセスさえあれば「間接的な能力移転」が可能だという技術的事実だ。 輸出規制のような物理的な壁では止められない、デジタル安全保障の盲点が露わになった。
中国企業が使っていた3つの迂回ルート
Anthropicの利用規約は、2025年9月の改定で「中国など非対応国に本社を置く企業が間接的にでも多数支配するすべての会社」を利用禁止にしている。 にもかかわらず、中国企業は少なくとも3つの方法でClaude APIへのアクセスを続けてきた。
一つ目は、シンガポール法人を経由するルートだ。 アント・フィナンシャルを含む複数の中国企業が、シンガポール拠点の子会社名義でCorporate Claudeアカウントを取得し、中国本土の従業員に使わせていた。
二つ目はVPNを使った個人アカウントの法人利用だ。 ByteDanceは、エンジニアが個人でClaude Proを購読しVPN経由でアクセスする費用を、会社が経費として補填するという構造を採用していた。
三つ目が「転送ステーション(transfer station)」と呼ばれる仕組みだ。 Anthropicが対応している国のサーバーを中継地点に設置し、中国ユーザーのプロンプトを受け取ってClaude APIに転送しレスポンスを返す。 2026年5月には、暗号資産起業家のジャスティン・サンがB.AIという転送ステーションを開設したことが報じられた。
Anthropicが採る新たな検出・封鎖の手段
Anthropicはいまこれらの迂回ルートを体系的に遮断する措置を強化している。 具体的には、ユーザーのコンピューターのタイムゾーンや使用パターンといったシグナルを監視し、中国本土から海外アカウント経由でアクセスしていると判断されるケースを特定する。 転送ステーションについては、中国のユーザーを代行しているサービスを重点的に標的にしているという。
カリフォルニア州が全機関にClaudeを導入し半額で利用できる契約を締結したことが示すように、AnthropicのAIは西側の政府・公共機関に深く食い込みつつある。 一方で中国からの不正アクセスが続けば、同社の政府との信頼関係に影響を与えかねない。 今回の強制措置強化は、商業的な利用規約遵守以上の意味を持つ。
地政学アナリストが見る「AIアクセス制御」の本質
この問題を地政学的な視点で見ると、単なる利用規約違反の話ではないことが分かる。
米国政府は2025年以降、AI基盤モデルを安全保障資産として扱う姿勢を明確にしている。 中国のAI企業(美団LongCat-2.0)が国産チップで独自モデルを訓練・公開していることは、西側AIラボへの依存を断つ対抗戦略の一環でもある。 だが蒸留攻撃の事実が示すように、中国企業は「自前開発」と「外部蒸留」を同時並行で進めていた。
Anthropicのような西側AIラボが「誰がアクセスできるか」を厳格に管理しようとする動きは、インターネットの自由な情報流通という原則と根本的な緊張関係にある。 モデルそのものは公開されなくても、APIアクセスは事実上のインフラ支配だ。 蒸留攻撃の問題は、その「支配の穴」が組織的に狙われる時代が来たことを示している。
「AIインフラ安全保障」はこれからどこへ向かうか
今後のシナリオとして考えられるのは、次の3段階だ。
第一段階は、現在進行中の技術的封鎖——タイムゾーンや使用パターン検出の強化と、転送ステーション取締り。 第二段階は、政府間合意による規制——AnthropicがIPO準備を進め上場企業化すれば、輸出管理の枠組みに明示的に組み込まれる可能性がある。 第三段階は、自律型「国産AI」への中国の完全移行——QwenやDeepSeekの品質がClaude水準に達すれば、蒸留の動機そのものが消える。
重要なのは、この問題が技術の問題でも企業コンプライアンスの問題でもなく、本質的には「誰がAI時代のルールを書くか」という権力の問題だということだ。 Anthropicの対応は、AIインフラを西側安全保障の一部として位置付けるという、まだ名前のついていない新しい規範の始まりかもしれない。
あなたは「AIへのアクセス権」を、国家安全保障の問題として捉えるべきだと思うか。それとも、開かれた知識共有の問題として捉えるべきだろうか。
ソース: