要点（30秒で）: Anthropicが米上院銀行委員会への書簡で、Alibabaが約25,000の偽アカウントを使い、わずか1か月半でClaudeに2880万回もの会話を仕掛けた「史上最大の蒸留攻撃」を告発した。これは単なる二社間の揉め事ではなく、海外モデルに乗っているすべての開発者にとって「依存先の地政学的リスク」が現実化した瞬間でもある。今週中に、自分のプロダクトのAI依存先と、API利用規約上の責務を一度棚卸ししておきたい。

ニュースの輪郭はシンプルだが、その奥に見える地殻変動はかなり深い。米国の最有力AIスタートアップAnthropicが、中国の巨人Alibabaを「ブランドの安全装置を外して、剝き出しのナイフでClaudeを削り取ろうとした」と公然と名指ししたのである。

しかも舞台はプレスリリースではない。米上院銀行委員会のティム・スコット委員長と、ランキング・メンバーであるエリザベス・ウォーレン上院議員に宛てた、6月10日付の正式書簡だ。意味するところはひとつしかない。これは商業上のトラブルではなく、米中AI冷戦の新しい火種として、議会と政府の机に上がったということである。

何が起きたか

書簡は2026年6月10日付。Anthropicはこの中で、AlibabaおよびそのAI研究部門「Alibaba Qwen」に関連するオペレータが、4月22日から6月5日までの約1か月半にわたって、約25,000個の不正アカウントを使ってClaudeに2880万回以上のリクエストを送りつけた、としている。

数字だけ追ってもピンとこないかもしれないが、これは単純計算でアカウント1つあたり1000回以上の会話を、人間の通常利用とは別次元のスピードで回した規模だ。狙われたのは雑談や試し打ちではない。ソフトウェアエンジニアリングとエージェント推論——Anthropicが最新世代の「Mythos Preview」で売りにしている、商用価値が最も高い部分である。

要するに、「最も金になる部位」を狙い撃ちした、というのがAnthropic側の主張だ。書簡内の表現を借りれば、「これまで把握している中で最大の蒸留攻撃」となる。

蒸留攻撃の規模比較──Alibaba 2,880万回は過去3社の合計を超える単独規模

「蒸留」とはどんな攻撃か

ここで使われた手口が、いま米国の規制論議で頻出する「蒸留（distillation）」である。本来これは機械学習の正統な技術で、巨大な”教師モデル”の出力をなぞらせて、小さく軽い”生徒モデル”を作る省エネ手法を指す。Hugging Faceの解説でも、推論コストを劇的に下げる王道として紹介されている、ごく真っ当な研究領域だ。

問題は、その教師モデルが他社の有料APIで、利用規約上「出力をモデル学習に使ってはならない」と明記されている場合だ。Anthropicが告発したのは、その応用形である敵対的蒸留（adversarial distillation）。意図的に難しい質問や境界事例をぶつけて、教師モデルの判断パターン、推論の癖、回答構造そのものを高解像度で抜き取り、それを自社モデルの学習素材に流し込むやり方を指す。

研究の世界では、GANを使って合成データを生成し、生徒モデルの汎化性能を上げる正当な技法として知られている。しかしそれを「契約上は使ってはいけない他社モデル」に対して、産業規模で展開した瞬間、技術論ではなく知財論・国家安全保障論の議題に変質する。Anthropicは、これによりAlibabaが「数百万ドル規模のR&Dを正面突破せず、近道で複製しようとした」と書いた。

敵対的蒸留の攻撃フロー──偽アカウント網からClaudeの「最も金になる部位」を抜く4ステップ

過去の同種事例と、その規模差

Anthropicがこの種の告発を出すのは初めてではない。同社は2026年2月の段階で、すでにDeepSeek、Moonshot AI、MiniMaxの3社が「産業規模の蒸留」を試みたと公表している。

ただ規模が桁違いに違う。DeepSeekは約15万回、Moonshot AIは約340万回、MiniMaxは約1300万回。今回のAlibaba案件は、その3社の合計を足してもなお届かない2880万回で、Anthropicがわざわざ「史上最大」と銘打って書簡を上院に送り込んだ理由がここにある。

筋として興味深いのは、過去の告発相手が中国系の専業AIラボだったのに対し、今回は中国EC・クラウド・物流の巨人が同様の手口で名指しされた点だ。攻撃が研究室規模から事業会社規模に「昇格」した、と読むこともできる。実際、Alibabaは自社のQwen系モデルをエンタープライズ向けに本格的に売り込んでおり、もしClaudeから抽出した推論パターンがそこに混入していれば、商業的な意味合いはまるで違う。

米政府が動いた、その下地

タイミングも重要だ。Anthropicが書簡を出す2か月前、ホワイトハウスの科学技術政策局（OSTP）は、産業規模の蒸留攻撃を検知・連携するためのメモを発出し、AI各社に協力を呼びかけていた。つまり政府は「次にやられたら声を上げてくれ」と言っており、Anthropicは指名通りに声を上げた、という構図にも見える。

さらにこの直前、トランプ政権はAnthropicに対し輸出規制ディレクティブを発し、最新モデル「Fable 5」と「Mythos 5」を、米国内外の外国人——Anthropic自身に在籍する非米国籍社員まで含めて——使わせるな、と命じている。Fortune報道によれば、AmazonのCEOであるアンディ・ジャシー氏がジェイルブレイク手口を政府に共有したことが直接の引き金で、Anthropicは結局両モデルを完全に停止せざるを得なくなった。

商業的には大打撃である。だが政治的には「だからこそ蒸留を見過ごせない」という主張の説得力を増す動きにもなった。被害者を演じる必要すらない、本当に被害者なのだ、という構図ができあがってしまったのである。

影響と波紋

Alibabaは執筆時点で公式の反応を出していない。ただ、同社は別件で米国防総省の「軍事関連企業リスト」に載せられたことを巡って提訴中であり、Anthropicによる今回の告発はその係争に文脈として絡んでくる可能性が高い。「軍事関連性なし」と主張する一方で、米最先端モデルからの大規模抽出を名指しされるのでは、Alibaba側の説明コストは確実に上がる。

業界全体への余波も小さくない。カナダのマーク・カーニー首相は、Anthropicの輸出規制を受けて「Mythos/Fableで我々が陥っている状況は、過度な依存があれば誰にでも起こる」と公に語った。米国の同盟国の側でも、米AIに依存する戦略の見直し議論はすでに始まっている。

そして日本の開発現場にとっても、これは決して他人事ではない。API事業者は今後、確実にKYC（本人確認）と決済情報のチェックを厳しくしてくる。これまでメールアドレスとクレジットカードだけで気軽に取得できた開発キーが、法人確認や利用目的の明示なしには発行されない流れは、もう始まっている。

日本・個人開発の視点

日本の個人開発者やスタートアップにとって、この事件から拾うべき含意は3つある。

ひとつ目は、APIの利用規約のなかにある「出力をモデル学習に使ってはならない」条項の重みだ。これまで形式的に流し読みしていた人も、今後は契約違反が国際ニュースになり得ると認識しておく必要がある。LLMの応答をログとして溜め、別モデルの追加学習に流すという素朴な開発フローは、規約次第ではグレーを通り越して黒になる。

ふたつ目は、海外モデルに過剰に依存しない設計だ。Anthropicのモデルが政治判断で一夜にして外国人ユーザに使えなくなった事例は、すでに現実になっている。複数プロバイダを束ねて切り替え可能にしておくこと——たとえばRubyで全AIプロバイダを束ねる「RubyLLM 1.16」が来たで紹介したような抽象化レイヤを噛ませる発想は、いま改めて価値を増している。

3つ目は、AIの出力をどう「自分のもの」と呼べるか、という倫理感覚の問題だ。AIに肩代わりさせた成果を堂々と提出する文化に対して、世界では「AIで楽したな」と空気で刺す——広がる利己的LLM批判というかたちで違和感が広がっている。今回の蒸留問題は、規模こそ違うが、同じ”借り物の知性”をめぐる議論の延長線上にある。AIで楽をしたかどうかではなく、誰の知性に乗っているのかを開示できるかどうか、という話だ。

これからどうなる

短期的には、Anthropic側はAlibaba関連と疑われるアカウント網の遮断と、検出パターンの一部公開を続けるだろう。米議会側からは、API事業者が他国の国家関連事業者からのアクセスを拒否することを後押しする立法アイデアが出てくる可能性が高い。「ホワイトリスト型API販売」というキーワードが、半年以内に出てくるとみる。

中期的には、業界の応答が割れる。クローズドモデル側はKYC強化と監査ログ標準化で防御を固める一方、オープンウェイト側は「結局、規約で縛っても無理ならオープンで配ったほうが健全だ」と逆方向の正当性を主張するだろう。両者の溝はむしろ深くなる。Llama系やMistral系がこの議論で得をするのは確実だ。

長期的に効くのは、AIモデルそのものを著作物・営業秘密としてどう保護するかという法理である。蒸留出力の依拠関係を「機密性」「依拠性」の観点でどう測るかは、まだ世界中で確立していない。日本の不正競争防止法上の営業秘密保護も、いずれこの論点に巻き込まれる。APIの応答を「秘密として管理されていた」と言えるかどうかは、契約とログ運用次第で結論が変わるからだ。

要点まとめ

• Anthropicが6月10日付の書簡で、米上院銀行委員会にAlibabaを告発。4月22日〜6月5日に約25,000の不正アカウントで2880万回のClaude呼び出しが行われたとする。
• 狙いは「Mythos Preview」の中核機能であるソフトウェアエンジニアリングとエージェント推論。手口は「敵対的蒸留」。
• 過去のDeepSeek（15万）、Moonshot（340万）、MiniMax（1300万）の合算を超える規模で、Anthropic把握上では史上最大。
• 直前にトランプ政権はAnthropicの最新モデル「Fable 5」「Mythos 5」を外国人全面禁輸化、両モデルは事実上停止状態。背景にはホワイトハウスの蒸留対策メモがある。
• 日本の開発現場には、API規約遵守・複数モデル冗長化・AI出力の倫理的扱いという3つの宿題が回ってくる。

🐦‍⬛ 編集部の視点

正直に書けば、この件は単なる「中国がまた米国の技術をパクった」という古い見出しでは捉えきれない。むしろ気味が悪いのは、攻撃側も防御側もそろってAPIを正面から叩いたことだ。秘密のハッキングではない。クレジットカードと偽メールがあれば誰でも入れる玄関を、産業規模の人海戦術で1か月半叩き続けて、その結果が2880万回である。

世界中の開発者が日常的に触っているそのAPIの上で、これだけのスケールの「合法な手口の悪用」が成立してしまうという事実は、私たちが今後どんなプロダクトを作るときも、認証・課金・利用ログを”取扱注意の機密”として設計しないといけない時代に入ったことを意味する。手軽さは美徳だったが、これからは「手軽すぎる」が罪になる場面が増える。

そしてもう一つ、行間に滲むものを読み解きたい。Anthropic自身は、ここ数か月のあいだに自国政府から外国籍社員を締め出され、自社モデルを商業停止に追い込まれ、そして競合からは規模違いの抽出を仕掛けられた。被害者であり、規制協力者であり、商業的にも追い込まれている。三重苦のなかでなお書簡を上院に書ける体力があるのは、彼らがAI業界の中で”安全と政治”のレーンに賭けてきた成果ではあるが、その代償もまた大きい。

私たちが見るべきは、米中の対立そのものより、その対立の足元でAPIを叩いて生きている世界中の小さな開発者の足場が、いま確実に揺れているということだ。便利な海外モデルを、当たり前に使い続けられるとは限らない。次に「使えなくなった」のニュースが来たとき、どこに退避できるか——その地図を持っている開発者と、持っていない開発者の差が、今年後半は大きく開く気がしてならない。

あなたのプロダクトの主依存先は、まだ1社のままですか？

出典・リンク

• 出典: https://www.reuters.com/world/china/anthropic-says-alibaba-illicitly-extracted-claude-ai-model-capabilities-2026-06-24/
• CNBC: Anthropic accuses Alibaba of campaign to ‘brazenly’ and ‘illicitly’ extract AI capabilities
• CybersecurityNews: Largest Known Distillation Attack
• Benzinga: 28.8 Million Claude Conversations Were Harvested
• Bloomberg: Anthropic Accuses Alibaba of ‘Illicitly’ Accessing AI Models
• Fortune: Anthropic disables Fable and Mythos after U.S. order
• Al Jazeera: US export ban on Anthropic’s AI models further strains alliances
• Hugging Face: Everything You Need to Know about Knowledge Distillation