AnthropicがDeepSeek・Moonshot・MiniMaxの3社による大規模な「蒸留攻撃(Distillation Attack)」を正式に告発した。約2万4,000の不正アカウントを悪用してClaudeへ1,600万件超のリクエストを送り込み、AIモデルの能力を組織的に不正抽出していたとする詳細な調査報告を2026年2月に公開している。

蒸留攻撃とは何か

「蒸留(Distillation)」とは、高性能モデルの出力データを使ってより小規模なモデルを訓練する機械学習の技術だ。正当な用途も多く、例えば大手AIラボが自社の大型モデルから軽量・低コスト版を派生させる際に日常的に使われている。

問題は、この手法を他社のモデルに対して意図的・組織的に仕掛けた場合だ。競合のAIに大量のリクエストを送ってその出力を収集すれば、独自開発のほんの一部のコストと時間で同等の能力を持つモデルを作れてしまう。言い換えれば、数年分の研究開発成果を「ただ乗り」できる手法であり、利用規約違反であるだけでなく、知的財産の侵害にも当たりうる。

発見された3つのキャンペーンの実態

Anthropicが特定した3社の攻撃は、いずれも共通の手口を踏んでいた。

  • 不正アカウントの大量生成: 約2万4,000のアカウントを使い、検出を逃れながらClaudeへ大量アクセス
  • プロキシ・分散インフラの悪用: IPアドレスを隠蔽するためプロキシサービスや「ハイドラクラスター」と呼ばれる分散インフラを使用
  • 能力抽出に特化した構造化プロンプト: 通常ユーザーとは明らかに異なる、能力抽出目的と判別できるリクエスト群

攻撃対象として集中的に狙われたのは、Claudeの差別化ポイントであるエージェント的推論・ツール使用・コーディングの3領域だ。単純な文章生成ではなく、AIが自律的かつ複合的なタスクをこなす能力を狙い打ちにしていた点に、攻撃の意図の鮮明さが表れている。

DeepSeekが関与したキャンペーンだけで15万件以上の交換が確認されており、AnthropicはIPアドレス相関・リクエストメタデータ・インフラ特徴などの複数の証拠から各社への帰属を「高い確度」で確認。一部は業界パートナーからの独立した裏付けも得ているという。

安全保障上の深刻なリスク

技術盗用という問題にとどまらない点がこの事件の核心だ。Anthropicが特に強調するのがAIセーフガードの喪失という安全保障リスクである。

AnthropicをはじめとするAIラボは、生物兵器の開発支援やサイバー攻撃の促進を防ぐための安全策をモデルに組み込んでいる。蒸留によって作られたモデルはこうした安全策が欠落している可能性が高く、危険な能力が保護機能なしに広まるリスクがある。

さらに中国共産党の影響下にあるとされる企業が蒸留したモデルが、軍事・情報・監視システムに転用されれば、攻撃的なサイバー作戦やディスインフォメーション、大規模監視に最先端AIが活用されうるという懸念も示されている。

輸出規制との関係も見逃せない。Anthropicは米国のAI優位を守るための輸出規制を一貫して支持してきたが、蒸留攻撃はその規制を「技術的な抜け穴」で迂回する手法として機能している。Anthropicは「蒸留攻撃にも高性能チップが必要であり、チップ輸出規制は直接的なモデル訓練だけでなく不正蒸留の規模も制限できる」と指摘し、輸出規制の合理性を改めて主張している。

日本のIT現場への影響

この問題は一見遠い話に映るが、日本のIT現場にも実質的な影響がある。

調達・選定時の確認事項

  • モデルの出自と透明性を評価軸に加える: 低コストを売りにするAIサービスの中に、不正蒸留によって作られた可能性があるモデルを使うものが存在しうる。業務で機密情報や個人情報を扱う場合、利用モデルの安全策の有無は重要な評価基準になる
  • API利用規約の遵守: 自社でAIを活用したサービスを構築する際、元モデルの利用規約を逸脱する大量自動化リクエストや能力抽出と見なされかねない使い方は避けるべきだ
  • エンタープライズ契約審査: AIサービスを企業導入する際、ベンダーのモデル開発の適法性・コンプライアンス体制も評価項目に加えることが今後標準になっていく

筆者の見解

この告発が示しているのは、AI競争が「技術力」だけでなく「ルール形成とその執行」の戦場でもあるという現実だ。

Anthropicが競合他社の名前を具体的に挙げた上で技術的証拠を公開したのは、単なる被害者声明ではなく、業界・政策立案者・国際社会に対して行動を迫る意図的なアクションだと読める。こういった問題提起は、一企業が単独で解決できる類のものではなく、業界横断・国際的な協調なしに前進しない。

AIの安全性という観点から見ると、セーフガードが欠落したモデルの拡散リスクは今後ますます深刻化する。「AIが高性能になること」と「AIが安全に動作する仕組みが整っていること」は別の話であり、特にエージェント的に自律動作するAIが普及する中では後者の重要性が格段に高まる。

日本のエンジニアやIT管理者にとって、こうした国際的なAI安全の議論を「海外の話」として傍観するのはもったいない。使うモデルの背景、セーフガードの有無、調達先の透明性——これらを問う目を持つことが、これからのAI活用における基本的なリテラシーになっていく時代が、すでに始まっている。

出典: この記事は Detecting and preventing distillation attacks の内容をもとに、筆者の見解を加えて独自に執筆したものです。