「AIを盗む」——1,600万件の不正アクセスで何が起きたのか
2026年2月23日、Anthropicが衝撃的な報告書を公開しました。
同社のAIモデル「Claude」に対し、DeepSeek・Moonshot AI・MiniMaxという中国系AI企業3社が、約24,000件の不正アカウントを駆使して1,600万件超の対話を不正取得していたというのです。
「蒸留攻撃(Distillation Attack)」と呼ばれるこの手口——名前だけ聞いても何のことかよくわからない方がほとんどだと思います。
本記事では、組み込みエンジニアかつAIエンジニアの視点から、「蒸留」とは何か、何がOKで何がNGなのか、そしてこの事件が技術者にとって何を意味するのかを、できるかぎり平易に解説します。
この記事でわかること
- 「モデル蒸留」「蒸留攻撃」とは何か(理科の実験から理解する)
- 合法な蒸留と違法な蒸留の違い——何がOKで何がNG?
- DeepSeek・Moonshot AI・MiniMaxがそれぞれ何を盗もうとしたか
- 安全装置が引き継がれない「見えないリスク」
- 現場エンジニアが今すぐ知っておくべきこと
1. 「蒸留」とは何か——理科の実験から理解する
まず「モデル蒸留(Knowledge Distillation)」の基本
「蒸留」と聞くと、理科の授業でやった水の蒸留実験を思い浮かべる方が多いのではないでしょうか。フラスコで水を熱して蒸発させ、冷やして純粋な水だけを取り出すあれです。技術用語としての「蒸留」も、本質は同じです。「混じり物の中から、必要なエッセンスだけを抽出・凝縮する」 プロセスです。
AI分野でのモデル蒸留を一言で説明すると:
「賢い大きなモデル(教師モデル)の"思考の出力"を学習データとして使い、小さなモデル(生徒モデル)を賢く育てる技術」
もう少し具体的に見てみましょう。
普通のAI学習との違い
通常のAI(機械学習)モデルの学習は、人間が用意した正解データ(ラベル)から学びます。
【通常の学習】
問題:「犬の画像」→ 正解ラベル:「犬」→ モデルが学習
蒸留では、大きな教師モデルの出力そのものを正解データとして使います。
【蒸留による学習】
問題:「この文を続けてください」
→ 教師モデル(GPT-4/Claude等)の回答 →「生徒モデルが学習」
重要なのは、教師モデルは確率分布で答えるという点です。「答えはAだ(100%)」ではなく、「AかもしれないがBの可能性もある(A:70%、B:20%、C:10%)」という形で返します。この 「曖昧さに含まれる豊かな情報」 こそが、蒸留の本質です。
組み込みエンジニア的アナロジー
組み込み開発をやっていると、回路設計の「スケーリング」に近いと感じます。高精度な測定器(教師)が計測した精密な波形データを参照しながら、コスト効率の良い安価なセンサー(生徒)を校正する——ハードウェアの世界では普通にやっていることです。
2. 蒸留は違法?——何がOKで何がNGなのか
蒸留という技術自体は悪いものではありません。問題はどう使うかです。
OKな蒸留の使い方
| ケース | 具体例 | なぜOKか |
|---|---|---|
| 自社モデルの軽量化 | GPT-4で作ったモデルを、自社のエッジデバイス用に軽量化 | 自分の資産の効率化 |
| 公開データを使った研究 | 公開APIを通常使用し、その出力を研究目的で分析 | 利用規約の範囲内 |
| オープンソースモデルの蒸留 | LLaMA等のオープン重みモデルを利用して独自モデルを育成 | ライセンスが許可している |
| 自社内モデル間の知識移転 | 大型モデルAから小型モデルBへの社内転送 | 権利者が自分自身 |
NGな蒸留の使い方(今回の事件)
今回の問題の核心は、「利用規約を破って」「大規模・組織的に」「商業目的で」 行った点です。
① 利用規約違反
AnthropicのAPIは利用規約で「モデルの能力を抽出・複製する行為」を明示的に禁止しています。DeepSeekらはこれを破りました。
② 「産業規模」の組織的な不正
24,000件の偽アカウント、1,600万件超の対話——これは個人の研究や偶発的な行為ではありません。組織的・計画的な技術窃取です。
【通常の利用(OK)】
1ユーザー → APIを使ってサービスを作る → 月数万回のアクセス
【今回の不正(NG)】
24,000の偽アカウント → 大量プロキシで分散アクセス → 1,600万件の対話を収集 → 自社モデルの訓練データに転用
③ 検知回避の意図的な工作
「hydra cluster(ヒドラクラスター)」と呼ばれる手法で、商用プロキシを大量に利用し、1つのネットワークで2万超のアカウントを同時運用して検知を逃れようとしました。
これは偶然ではありません。意図的な不正行為の証拠です。
3. DeepSeek・Moonshot・MiniMaxは何を盗もうとしたのか——各社の狙いを技術的に解説
3社はそれぞれ異なる「能力」の抽出を試みていました。ここが非常に技術的に興味深い部分です。
DeepSeek:推論プロセスとChain-of-Thought
DeepSeekが狙ったのは、Claudeの「考え方」そのものです。
約15万件超の対話で収集していたのは、複雑な問題を解く際の内部的な推論プロセス——「Chain-of-Thought(思考の連鎖)」と呼ばれるものです。
【Chain-of-Thoughtの例】
質問:「5人で山を登る。3人が途中で引き返した。頂上にいるのは何人?」
通常の回答:「2人」
Chain-of-Thoughtによる回答:
「まず全員で5人が登り始めた。途中で3人が引き返した。
ということは5-3=2人が登り続けた。
したがって頂上にいるのは2人」
このステップバイステップの推論プロセスを大量に収集することで、DeepSeekは自社モデルに「考え方」を教え込もうとしていたわけです。また、強化学習の評価データ(人間の専門家が高コストをかけて評価する部分)も収集していました。
Moonshot AI:エージェント型の行動能力
Moonshot AIが狙ったのは約340万件で、「エージェント型推論」 とツール利用能力です。
「エージェント型AI」とは、単に質問に答えるだけでなく、複数のツールを使いながら自律的にタスクを完了するAIのことです。
【通常のAI】
ユーザー:「東京の明日の天気を教えて」
AI:「私はインターネットにアクセスできないのでわかりません」
【エージェント型AI】
ユーザー:「東京の明日の天気を調べて、雨なら傘を買える店も探して」
AI:(1)天気予報サイトを自動で検索
(2)「明日は雨」と判断
(3)近くのホームセンターを地図で検索
(4)結果をまとめてユーザーに報告
「検索する」「調べる」「判断する」「次の行動に移る」を自律的に繰り返す——この一連の「自律行動の知識」を抽出しようとしていました。
MiniMax:大規模コーディング能力
最大規模の約1,300万件を不正取得したMiniMaxが狙ったのは、コーディングとオーケストレーション能力です。
【狙われた能力の例】
ユーザー:「ECサイトのバックエンドAPIを作って」
AI:(1)要件を整理してデータベース設計を提案
(2)ユーザー認証・商品管理・注文処理などの
複数機能を一気にコーディング
(3)テストコードも自動生成
(4)バグが出たら自分でデバッグして修正
複数の処理を組み合わせて大きな開発タスクをこなす——こうした「大規模コーディング能力」は習得させるのが最も難しく、かつ商業価値が高い能力です。1,300万件という突出した規模が、その価値の高さを物語っています。
4. なぜ「出力データを使っただけ」で技術盗用になるのか——開発コストの非対称性
「でも出力データを使っただけでしょ?それがなぜそんなに問題なの?」と思う方もいるでしょう。
ここで重要なのは、AIモデルの開発コストの構造です。
LLMの開発にかかるコスト
大規模言語モデルの開発は、2つの大きなコストで成り立っています。
① 事前学習(Pre-training)コスト
膨大なテキストデータを使ってモデルの基礎能力を育てるフェーズです。GPT-4クラスのモデルでは、数百億〜数千億円規模の計算コストがかかると言われています。
② 調整(Fine-tuning / RLHF)コスト
人間の専門家が大量の回答を評価・修正し、モデルを「有用で、無害で、正直な」存在に育てるフェーズです。
Anthropicが公表した数字から逆算すると、蒸留によって得られる実質的な価値は——
- 人間専門家による評価コストの削減
- 独自の推論能力の大幅な底上げ
- 安全対策の構築コストの省略
——これらが丸ごと「ただ取り」できることになります。
エンジニア的に言えば
たとえば、私たちが長年かけて蓄積した回路設計のノウハウ(ライブラリ・設計パターン・デバッグの知見)を、競合他社がリバースエンジニアリングで盗み出し、そのままプロダクトに使った——それに近い話です。
特許や著作権の世界では「派生的な創作物」として問題になるケースです。AI蒸留の場合も、同じ構造の問題が発生しています。
5. 能力は盗めても「安全装置」は盗めない——蒸留攻撃の最大のリスク
今回の事件で、法的問題と同じくらい重大なのが、安全対策の喪失リスクです。
Claudeの安全機構が継承されない
AnthropicのClaudeには、「Constitutional AI(憲法AI)」と呼ばれる独自の安全設計が施されています。
- サイバー攻撃ツールの作成支援を拒否する
- 生物兵器・化学兵器の製造方法を教えない
- 差別的・暴力的なコンテンツを生成しない
問題は、蒸留によって「能力」だけを抽出した場合、こうした安全対策が十分に引き継がれない可能性があることです。
【正規に訓練されたClaude】
能力 ✓ + 安全装置 ✓
【蒸留で能力だけ抽出したモデル】
能力 ✓ + 安全装置 △(大幅に劣化)
組み込みシステムでの例えが一番わかりやすいかもしれません。
医療機器のファームウェアを「機能だけ」コピーして別の製品に流用したとします。機能は動くかもしれません。でも、FDA認証のために組み込まれた無数の安全チェック(異常値検出、フェールセーフ機構、誤操作防止)は、コピーされた機能の中に含まれているかどうかわかりません。
機能は動くが、安全装置が抜けている——これが最悪のシナリオです。
6. Anthropicはどう対抗するのか——業界全体の動向
Anthropicは今回の件を受け、いくつかの対策を講じています。
技術的対策
- 行動フィンガープリンティング: 「蒸留目的っぽい」アクセスパターン(大量かつ体系的な質問)を機械学習で検知
- 分類器による異常検知: 通常の利用と蒸留目的の利用を区別するフィルタリング
- 不正アカウントの遮断: 検知次第、アカウントをリアルタイムで停止
業界横断の連携
Anthropicは今回の件を「単独企業では解決できない課題」と位置づけ、他のAIラボ・クラウドプロバイダ・当局との情報共有を進めています。OpenAIも米下院特別委員会に同様の被害を報告しており、業界全体での対応が始まっています。
本人確認の強化
APIアクセスへの身元確認(KYC: Know Your Customer)強化も検討されています。ただし、これは利便性とのトレードオフになります。
7. 現場エンジニアへの影響——「AI版半導体輸出規制」の始まりか
率直に言って、今回の事件はAI業界の構造的な問題を露わにしています。
「学習済みモデルはソフトウェアか、それとも知的財産か」
現行の法律は、AIモデルの蒸留という手法を想定していません。
- 著作権法: モデルの重みファイルが著作物に該当するか?→ 判例なし
- 営業秘密法: 公開APIの出力が営業秘密か?→ グレーゾーン
- 不正競争防止法: 組織的な技術窃取として認定できるか?→ 現在進行中の法整備
これは、半導体の物理的な製造技術を輸出規制で守るのと同じ問題が、ソフトウェアの世界でも起き始めているということです。
「モデル能力の格差」がなくなる世界
もし蒸留攻撃が野放しになれば、最先端モデルへの投資が無意味になります。「開発に1000億円かけても、翌月には蒸留で同等のモデルが数億円で作れる」という状況になれば、誰もフロンティアモデルの開発に投資しなくなります。
これはイノベーションの破壊です。
組み込みエンジニアへの影響
私たちのような現場エンジニアにとって、この問題は「他人事」ではありません。
エッジAIの世界でも、大規模クラウドモデルを蒸留して軽量モデルを作る手法は一般的になりつつあります。今後、この手法の「合法・違法の境界線」が厳しく問われる時代が来るでしょう。
- 自社サービスで使う独自モデルを、商用LLMのAPI出力で学習させることは?
- 研究目的で公開モデルの出力を収集・分析することは?
- 社内ツールのために小規模に蒸留することは?
現時点での回答:利用規約を読め。それだけです。
各社の利用規約には、蒸留・モデル訓練目的での利用を禁止する条項が明記されています。技術的に可能かどうかではなく、契約上許されているかどうかが基準になります。
まとめ:「蒸留」は技術ではなく、使い方が問われる
今回の事件のポイントを整理します。
蒸留技術そのものは中立な技術です。
- 自社モデルの効率化、エッジデバイスへの軽量化、研究目的の活用——これらは正当な使い方です。
- 他社の高コストモデルを不正に「知識窃取」するための道具にすること——これが今回の問題です。
技術の本質より「誰の権利を侵害しているか」が問題です。
Anthropicが数年・数千億円かけて作り上げた「Claudeの思考能力」を、偽アカウントと大量プロキシで組織的に盗み出す——それは、どれだけ巧妙な技術を使っていても、構造的には「泥棒」と変わりません。
そして忘れてはならないのが、安全装置まで盗もうとした形跡がないという点です。能力だけを盗み、安全装置を外したモデルが世界中で使われる——これはエンジニアとして、純粋に恐ろしいシナリオです。
AI技術が急速に進化する中で、私たちエンジニアは「何が技術的に可能か」だけでなく、「何が倫理的・法的に許されるか」を常に問い続ける必要があります。
よくある質問(FAQ)
Q. モデル蒸留(Knowledge Distillation)とは何ですか? 大きな高性能AIモデル(教師モデル)の出力・推論プロセスを学習データとして使い、小さなモデル(生徒モデル)を効率的に訓練する技術です。エッジデバイス向けの軽量化などに正当な用途があります。
Q. 蒸留攻撃とは何ですか?今回のDeepSeekの事件は何が問題なのですか? 他社のAIモデルに対して大量の質問を送り、その回答を不正に収集して自社モデルの学習に使う行為です。今回は利用規約違反・24,000件の偽アカウントを使った組織的不正・商業目的での技術窃取という3点が問題です。
Q. DeepSeekはClaudeを使って学習したのですか?違法ですか? Anthropicの調査によればDeepSeekは約15万件超の対話を不正取得し、推論能力の抽出に使用したとされています。AnthropicのAPIはモデル蒸留目的での利用を明示的に禁止しており、利用規約違反に当たります。
Q. エッジAI向けに自分でモデルを蒸留するのは違法ですか? 使用するモデルの利用規約によります。OpenAI・Anthropic等の商用LLMは蒸留目的での利用を禁止しています。LLaMAなどオープンウェイトモデルはライセンス条件内で可能な場合があります。
Q. 蒸留で安全装置が失われるとはどういうことですか? ClaudeはConstitutional AI(憲法AI)という安全設計で、生物兵器情報の拒否・サイバー攻撃支援の拒否などが組み込まれています。能力だけを蒸留したモデルはこれらの安全機構が大幅に劣化する可能性があります。
Q. 今後、蒸留の合法・違法の基準はどうなりますか? 現在法整備が追いついていませんが、著作権法・営業秘密法・不正競争防止法の整備が進む見込みです。当面は「各サービスの利用規約を確認する」ことが唯一の明確な基準です。