DeepSeek・Moonshot AI・MiniMaxがClaudeを蒸留攻撃 — 産業規模不正利用の全容

はじめに

2026年2月23日、Anthropicは公式ブログ "Detecting and Preventing Distillation Attacks" を公開し、中国に拠点を置く3社（DeepSeek・Moonshot AI・MiniMax）によるClaude APIへの組織的な「モデル蒸留攻撃」を公表しました。

公式声明によると、3社は 約24,000個の不正アカウント を作成し、1,600万件以上のやりとり を実行。Claudeの出力データを大量収集し、自社モデルの訓練・改善に活用していたと指摘しています。

本記事では、Anthropicの公式発表と複数のメディア報道をもとに、蒸留攻撃の技術的な仕組み、3社それぞれの手口と規模、Anthropicの検出・対応、そして開発者・API利用者への影響を整理します。

この記事で学べること

• モデル蒸留攻撃とは何か、なぜ問題なのか
• DeepSeek・Moonshot AI・MiniMaxそれぞれの手口と規模の違い
• Anthropicがどのように検出・対処したか
• API利用規約違反の法的な性格と業界への影響

対象読者

• Anthropic Claude APIを利用・検討している開発者
• AI安全保障・知的財産問題に関心があるエンジニア
• LLM競争の業界構造を理解したい方

---

TL;DR

• 発表日: 2026年2月23日。Anthropic公式ブログで「産業規模のモデル蒸留攻撃」として公表
• 3社・規模: DeepSeek（15万件超）・Moonshot AI（340万件超）・MiniMax（1,300万件超）
• 手口: Hydra clusterアーキテクチャ + 商業プロキシで地域制限を回避
• 法的性格: Claude出力物は米国著作権法の保護対象外。主に「利用規約違反」の性格
• 影響: Anthropicはアカウント停止・分類器構築・業界共有で対抗

---

モデル蒸留攻撃とは何か

「モデル蒸留（Model Distillation）」とは、大規模・高性能な「教師モデル」の出力を学習データとして、小規模な「生徒モデル」を訓練する技術です。本来は研究・開発目的の正当な機械学習手法ですが、競合他社のAPIを不正利用して産業規模で実施することが問題となります。

具体的な流れは次のとおりです。

1. 大量のプロンプトを用意する
2. 競合AIのAPI（今回はClaude）へ送信して出力を収集する
3. その入出力ペアを訓練データとして自社モデルを学習させる
4. 自社モデルが競合の能力を模倣・内面化する

正規の商用APIアクセスであっても、利用規約で「モデルの訓練・改善への利用禁止」が定められている場合、これは明白な規約違反となります。AnthropicのClaude利用規約は、出力データを競合モデルの開発に使用することを明示的に禁じています。

---

3社の手口と規模

インフラ構成: Hydra cluster

Anthropicの調査によると、3社はすべて 「Hydra cluster」 と呼ぶ共通のインフラアーキテクチャを利用していました。

• 単一プロキシネットワークが同時に2万件以上の不正アカウントを管理
• 異なるAPIキーとクラウドプロバイダーに分散してリクエストを送信
• 商業プロキシサービスを利用してIPアドレスを偽装し、Anthropicの地域制限（ジオフェンシング）を回避
• Anthropicは中国市場での商用サービスを法的・規制上・安全保障上のリスクを理由に禁じているため、この迂回が必要だった

帰属の根拠として、AnthropicはIPアドレス相関・リクエストメタデータ・インフラストラクチャ指標による「高確信度」での特定を挙げています。

DeepSeek — 15万件超（検閲対策データ生成が目的）

DeepSeekによるやりとりは 15万件超 で、3社の中では数値上最も少ないものの、目的が特徴的です。

Anthropicの分析によると、DeepSeekは次のような用途にClaudeを活用していました。

• 推論能力の模倣
• 強化学習用の報酬モデルデータ生成
• Chain-of-Thoughtデータの収集
• 政治的に機微な質問に対する「検閲安全な代替回答」の大量生成

最後の項目は特に注目すべき点です。反体制活動家・党指導部・権威主義に関する質問をClaudeに投げ、検閲を回避する応答パターンを自社モデルに学習させようとした可能性が指摘されています。

ただし、数値的にDeepSeekのやりとりは全体の1%未満であることは留意が必要です。報道では見出しへの登場頻度が高い企業名ですが、規模はMiniMaxが圧倒的に大きい点を正確に理解しておく必要があります。

Moonshot AI — 340万件超（エージェント能力・コーディングに特化）

Moonshot AIのやりとりは 340万件超。主にターゲットとした能力は次のとおりです。

• エージェント推論（複雑な指示への自律的対応）
• ツールユース（関数呼び出し・外部サービス連携）
• コーディング支援
• コンピュータビジョン関連のタスク

エージェント型AIの能力獲得を目的とした大規模なデータ収集で、Moonshot AIが提供するAIアシスタント「Kimi」シリーズの能力向上を狙ったと見られています。

MiniMax — 1,300万件超（3社中最大規模）

3社の中で最大規模なのが MiniMax で、1,300万件超のやりとりを実行しています。これは全体の80%超を占めます。

ターゲットとした能力は次のとおりです。

• エージェント型コーディング（複数ステップにわたるコード生成・修正）
• ツール連携（外部APIとの統合）

MiniMaxの行動には際立った特徴がありました。新モデル発表後24時間以内にトラフィックの半分を転換するというパターンが観測され、Anthropicはアクティブな蒸留セッションをリアルタイムで捕捉したとされています。リリースサイクルに同期した組織的な蒸留が行われていたことを示唆しています。

---

Anthropicの検出手法と対応

検出技術

Anthropicは「高確信度」での帰属が可能になった技術的要因として次を挙げています。

• IPアドレス相関: プロキシを使用しても一定のパターンが残る
• リクエストメタデータ分析: タイミング・頻度・プロンプトパターンの統計的特徴
• インフラストラクチャ指標: クラウドプロバイダー・APIキーの利用パターン

対応措置

Anthropicが実施した対応措置は次のとおりです。

1. 不正アカウントの特定・停止: 24,000件超のアカウントをブロック
2. 分類器の構築: 蒸留攻撃と通常利用を区別するモデルを構築
3. 業界パートナーへの共有: 技術指標・検出方法を他のAI企業と共有
4. 検証強化: アカウント作成・大量アクセスの審査プロセスを厳格化

Anthropicは訴訟には踏み切らず、「迅速・協調的な対応」を業界に呼びかけるスタンスをとっています。

---

法的・業界的な意味

著作権 vs. 利用規約

この問題の法的性格は明確ではありません。米国著作権局の2025年1月ガイダンスによると、AIが生成した出力物は著作権の保護対象外とされています。したがって「Claudeの出力を盗んだ」という知的財産侵害の主張は難しく、主に 利用規約違反（契約違反） としての性格が強いと言えます。

Fortuneをはじめとする複数のメディアは、Anthropic自身が著作権訴訟の被告側であることを指摘しています。2025年9月には書籍著作権に関する訴訟を15億ドルで和解しており、「他者のコンテンツを無断利用してきた企業が、自社データの無断利用を問題にしている」という批判的な見方も存在します。

地政学的文脈

AnthropicのCEO Dario Amodeiは、この発表と同時期に対中AI輸出規制の強化を訴えており、米国議会ではAPI自体に輸出規制を適用する議論が進んでいます。業界観察者の中には、今回の発表がその政策議論と連動していると分析する声もあります。

OpenAIも同時期に議会公聴会で「DeepSeekが米国フロンティアモデルの蒸留を試みている証拠がある」と証言しており、Anthropicの発表は業界全体で共有されている懸念の表明という側面もあります。

3社（DeepSeek・Moonshot AI・MiniMax）はいずれもCNBCのコメント要求に返答していません。

---

開発者・API利用者への影響

利用規約の再確認が必要

今回の発表を受けて、Anthropicをはじめとする主要AI企業は利用規約の周知と検証強化を進めています。Claude APIを利用する開発者・企業にとって、次の点を再確認することが推奨されます。

• 目的外利用の禁止: Claude APIの出力を自社モデルの訓練・改善に使うことは利用規約違反
• 大量アクセスの事前申請: 高頻度・大量のAPIアクセスが必要な場合は、Anthropicと事前に合意を取ることが望ましい
• プロキシ経由のアクセス制限: 利用規約で禁じられた地域からのアクセスを商業プロキシで迂回することは規約違反となる可能性がある

競合AI企業にとっての示唆

今回の事件は、Anthropicが高度なアクセスパターン分析による不正利用検出能力を持つことを公表しました。他のAI企業（OpenAI・Google・Mistralなど）も類似の検出システムを導入していると見られており、組織的な蒸留攻撃の摘発リスクは今後高まると考えられます。

---

まとめ

Anthropicによる2026年2月23日の公式発表は、LLM業界における産業規模の能力競争が、正規ライセンスの枠外にまで及んでいることを示す出来事です。

整理すると次のとおりです。

• DeepSeek・Moonshot AI・MiniMaxの3社が、合計2.4万件の不正アカウントと1,600万件超のやりとりでClaudeを蒸留攻撃
• 最大規模はMiniMaxで全体の80%超を占める
• Hydra clusterアーキテクチャにより地域制限を回避
• 法的には利用規約違反が主な性格であり、知的財産権侵害かどうかは争点がある
• Anthropicはアカウント停止・分類器構築・業界共有で対応。訴訟には踏み切らず

Claude APIを利用する開発者にとって直接的な影響は限定的ですが、利用規約の範囲内での適切な活用を改めて確認することが重要です。

---

参考リンク

• Anthropic公式ブログ: Detecting and Preventing Distillation Attacks
• VentureBeat: Anthropic says DeepSeek, Moonshot and MiniMax used 24,000 fake accounts
• TechCrunch: Anthropic accuses Chinese AI labs of mining Claude as US debates AI chip exports
• The Hacker News: Anthropic says Chinese AI firms used 16M+ exchanges
• Fortune: Anthropic China deepseek theft claude distillation copyright national security
• Bloomberg: Anthropic says DeepSeek, MiniMax distilled AI models