米、中国のAI蒸留攻撃を国家問題化：数万の代理アカウント警戒

生成AIの性能差が短期間で縮まるとき、その差分は独自研究の成果なのか、それとも他社モデルの出力を大量に学習した結果なのか。米ホワイトハウスはこの問いを、企業間の規約違反から国家間の安全保障問題へ格上げしようとしている。

API利用規約違反を「国家問題」に引き上げた1通のメモ

ホワイトハウス科学技術政策局（OSTP）は2026年4月23日、米国製フロンティアAIへの「敵対的蒸留」に関する覚書NSTM-4を連邦各省庁に送付した。署名したのはマイケル・クラツィオス（Michael Kratsios）OSTP局長、宛先は行政府全省庁の長である。文書は、中国を主な拠点とする外国主体が、米国のフロンティアAIシステムに対して産業規模の蒸留キャンペーンを実施していると主張した。

攻撃手段として名指しされたのは、検知を逃れるための数万件規模の代理アカウントと、専有情報を引き出すための脱獄手法だ。サーバー侵入でもソースコード窃取でもなく、正規に公開されているAPIへの大量アクセスを通じて、モデルの能力を少しずつ再現していく行為である。

クラツィオスはXへの投稿で「米国は外国主体、主に中国を拠点とする者が米国製AIを盗むために産業規模の蒸留キャンペーンを行っているという証拠を持っている」と書き、「米国のイノベーションを守るために行動を取る」と続けた。これまで各社がAPI規約違反として個別にアカウントを止めてきた事象を、国家間競争の制度問題として扱い直す――それがこの覚書の本質だ。

蒸留という技術の正当性と「敵対的蒸留」の境界

蒸留（distillation）は機械学習で広く使われる技術である。大きく強力なモデルの出力を「教師」として小さなモデルを学習させ、軽量化や低コスト化を図る。フロンティアAIラボが自社モデルの小型版を作るとき、ごく普通に用いる手法だ。

OSTPの文書はこの点をあえて認めた上で、境界線を引いている。合法的な用途では蒸留は「小型で軽量なオープンソース・オープンウェイトモデルを生み出す」役割を果たすが、米国の研究開発を組織的に損ない、専有情報にアクセスしようとする産業規模の蒸留活動は容認できない、という構図だ。

その区別が現実にどう機能するかが次の論点になる。通常のベンチマーク取得、研究用のAPI利用、正規に購入したサービス経由の評価と、敵対的蒸留の間に明確な技術的境界はない。違いはアクセス権限や規模、隠蔽の度合いにある。ここを政策で切り分けようとすれば、API事業全体の審査が厳しくなる可能性が出てくる。

蒸留は技術として中立であり、問題は「誰が」「何のために」「どの規模で」行ったかに移る。1つの覚書で引ける線は細く、そこを太くする作業はこれから始まる。

Anthropic、OpenAI、Googleの告発が政策転換の土台になった

今回の覚書は突然出てきたわけではない。2026年2月23日、AnthropicはDeepSeek、Moonshot、MiniMaxの3社がおよそ2万4000件の不正アカウントを通じて1600万件超のやり取りをClaudeと行い、規約と地域アクセス制限に反して能力を抽出したと発表した。対象能力にはエージェント推論、ツール利用、コーディング、データ分析、コンピューター操作エージェントが含まれる。

Anthropicの整理では、DeepSeekが15万件超、Moonshot AIが340万件超、MiniMaxが1300万件超の交換を生成した。DeepSeekの事例では政治的に敏感なクエリに対する検閲配慮型の代替回答をClaudeに生成させ、DeepSeek側のモデルを検閲トピックから逸らす訓練に使ったとみられる行動も観測されたという。これは技術的な能力抽出に加えて、政治的な応答設計まで移植しようとした例として注目される。

OpenAIも2026年2月、米下院の対中戦略競争特別委員会に宛てた文書で、DeepSeekがOpenAIや他の米国フロンティアラボの能力に「ただ乗り」しようと蒸留を試みているとの見解を示した。Reutersが確認したメモによれば、DeepSeek関係者と関連づけられるアカウントがアクセス制限を回避し、難読化された第三者プロキシを経由して米国AIモデルの出力を大規模に取得する手法を開発していたという。Googleに関しても、2026年2月にGeminiへ10万件超のプロンプトを投げて推論能力の抽出を試みる活動があったとされている。

覚書自体は個別企業名を列挙していない。しかしOSTPが使った語彙――「産業規模」「数万の代理アカウント」「脱獄手法」――は、Anthropicの告発文とほぼ重なる。民間企業のログと攻撃指標が、政策判断の土台として事実上採用されたとみてよい。

輸出管理では届かない「クラウド経由の技術移転」

米下院の対中戦略競争特別委員会は2026年4月16日、「Buy What It Can, Steal What It Must（買えるものは買い、買えないものは盗む）」と題する調査報告を公表している。委員会は、中国が半導体製造設備の最大市場であり続けていること、先端AIチップを大量に合法調達していること、密輸網で制限対象チップを入手していること、そして米国AI開発者からフロンティア能力を産業規模で抽出していることの4点を整理した。

政策提言にはMATCH Act、AI OVERWATCH Act、SCALE Act、Remote Access Security Actが並ぶ。半導体輸出管理、外国直接製品ルールの拡張、クラウドアクセスの規制強化――政策の重心はハードウェアからサービスへと動き始めた。4月15日にはビル・ハイゼンガ（Bill Huizenga）下院議員が「Deterring American AI Model Theft Act of 2026」（H.R. 8283）を提出し、「不適切なクエリ・アンド・コピー手法」を使う主体を特定して商務省のブラックリストを通じた制裁対象とする枠組みを提案した。

蒸留攻撃が輸出管理と結びつく理由は単純だ。モデルの重みや学習データを盗まなくても、API出力の大量収集で能力の一部を移植できる。先端GPUの輸出を絞っても、国外企業がクラウド、商用プロキシサービス、第三者ルーターを介して米国モデルにアクセスできれば、計算資源の不足を外部モデルの出力で埋められてしまう。物理的な箱を止める政策と、ログを読む政策では、執行の論理も権限の根拠もまるで違う。

半導体の輸出管理が港湾や航空貨物で機能するなら、蒸留対策が機能するのはAPIのゲートウェイだ。問題は、そのゲートウェイの多くが民間企業の手元にあるという事実である。

法的な焦点は、モデル出力の大量取得を既存の経済スパイ法やComputer Fraud and Abuse Actの範疇で扱えるか、それとも新しい管理対象として定義し直すかという点にある。委員会報告はBIS（商務省産業安全保障局）とDOJ（司法省）に、モデル抽出を産業スパイとして扱う検討を促した。敵対的蒸留を管理対象の技術移転と明確化できれば、米国企業は疑わしいアクセスを止めやすくなり、政府も制裁や刑事手続きに進みやすくなる。

裏返して言えば、研究用途の正当な蒸留、学術的なベンチマーク、相互運用テスト、オープンソースモデルの開発までが同じ網にかかるリスクがある。線引きが粗ければ、API利用者全体が戦略物資の利用者として扱われる未来が近づく。

中国は「中傷」と反発、米国側にも線引きの課題が残る

中国大使館の劉鵬宇（Liu Pengyu）報道官は、中国は協力と健全な競争を通じた科学技術の進歩を支持し、知的財産権の保護を重視していると反論した。駐米大使館はホワイトハウスによる中国企業への「不当な圧力」にも反対の意を表明している。

一方で米国側も、NSTM-4自体には個別の証拠ファイルや被疑企業リストを添付していない。根拠はOSTP文書、議会報告、そしてAnthropic・OpenAI・Googleの企業発表に分散している。対象が中国拠点の主体とされるほど、5月14日に予定される米中首脳会談、半導体輸出、クラウド規制、AI企業の中国向けアクセス制限が、同じ交渉テーブルに載る素材として絡みやすくなる。技術保護の議論と市場アクセスの議論が、外交の場では分離しづらいのが現実だ。

AI企業側にも説明責任は残る。大規模モデルの学習過程では、Web上の著作物や公開データの無断利用をめぐる訴訟と批判が続いてきた経緯がある。米国のラボが他者データの学習利用で攻められる一方、自社モデル出力の抽出を知的財産侵害として強く主張する姿勢は、規範づくりの説得力を削りかねない。

蒸留という技術そのものは正当だ。問題はアクセスの正統性、規約、規模、隠蔽、そして競合モデル訓練への転用にある。この5つをどう制度化するかが、今後の焦点になる。

開発者と企業利用者に降りてくる実務の変化

2026年4月時点で、米政府の対応は「ただちに制裁」ではなく、情報共有と責任追及策の検討で止まっている。実際の執行権限、対象主体、制裁手段は覚書だけでは確定しない。ポール・ナカソネ（Paul Nakasone）元NSA長官は、輸出管理、外交的抗議、個別の技術制限が政権の選択肢になりうると指摘している。

AI企業側の実務では、利用者確認、商用プロキシサービスの検知、同じ能力領域に集中する反復プロンプトの分類、出力を訓練データとして再利用しにくくする防御が優先されると考えられる。Anthropic、OpenAI、Googleは2026年初頭にFrontier Model Forumの枠組みを通じて蒸留関連の脅威情報を共有し始めたと報じられており、サイバーセキュリティ業界で定着した脅威インテリジェンス共有に似た形が、AI API分野でも立ち上がりつつある。

開発者や企業利用者から見れば、影響はAPI審査、レート制限、利用目的確認の厳格化として表れる可能性が高い。オープンモデルや正規の研究用途にも波及しうるし、地理的なアクセス制限が今より細かくなる未来も想像できる。

米政府が敵対的蒸留を技術移転として扱うなら、フロンティアモデルへのアクセスは、料金を払えば使えるクラウドサービスから、国籍・拠点・用途を審査される戦略資産へ近づく。その過程で、正当な研究と不当な抽出を区別する知恵が制度として蓄積されるかどうか。AIの能力が外から覗くだけでコピーできる時代に、誰がそのAPIの門番になるのかという問いが、覚書1通の向こうで動き始めている。

参照元

• White House OSTP - NSTM-4: Adversarial Distillation of American AI Models
• Anthropic - Detecting and preventing distillation attacks

他参照

• Select Committee on the CCP - Buy What It Can, Steal What It Must

関連記事

• OpenAI・Anthropic・Googleが共闘、中国への「蒸留」流出で情報共有
• MCPに設計レベルの欠陥、AI各社が揃って「仕様通り」と回答
• Claudeが政府発行IDを要求、プライバシー避難民は困惑
• Mythos配布から外された欧州、AI主権の空白が露呈する
• AI検索でブランドを売り込む新SEO産業、ゴールドラッシュの内幕
• Claudeサブスク、サードパーティ切り離しへ──OpenClaw問題の最終章
• Anthropicの三重苦——赤字・中国AI・安全性の代償
• Anthropic、セカンダリ市場で評価1兆ドル到達OpenAI逆転
• GPT-5.5公開、週次化するAI覇権争い
• VS Code 1.117、BYOKが法人にも解放