結論: Anthropicが2026年2月に公表した中国企業による「蒸留攻撃」(24,000のフェイクアカウント、1,600万件のクエリ)を踏まえ、Claude API・Web・Team・Enterpriseを安全に企業利用するための5つの防御策を解説します。
この記事の要点:
- DeepSeek・Moonshot・MiniMaxが24,000の偽アカウントでClaudeから16,000,000件のデータを不正取得した
- Webプランは入力がモデル改善に使用される可能性あり、APIとEnterprise(ZDR)は学習対象外
- EnterpriseプランはSAML SSO・監査ログ・ゼロデータ保持(ZDR)が利用可能
対象読者: ClaudeをAPI・Web・Teamプランで業務利用中のIT部門・DX推進担当・情報セキュリティ担当者
読了後にできること: Claudeのプラン別データポリシーを把握し、自社のリスクレベルに応じた利用ルールを今日から設定できる
「Claudeを使っていたら、気づかないうちにAIの学習データになっていた——そんなことが自分の会社で起きていたらどうしよう」
企業向けAI研修を行う中で、情報セキュリティ担当者からこの手の相談が急増しています。そして2026年2月、その不安が現実のものとなる事件が明らかになりました。中国のAI企業3社が24,000もの偽アカウントを使ってClaudeから1,600万件のデータを不正取得していたことを、Anthropicが公表したのです。
この記事では、Anthropicが公表した蒸留攻撃事件の全貌を解説するとともに、企業がClaudeを安全に使うために今すぐ実施できるセキュリティ対策を具体的に紹介します。すでにClaudeを利用している企業のセキュリティ担当者に、ぜひ読んでいただきたい内容です。
なお、Claude Codeに特化したセキュリティ設定についてはClaude Codeセキュリティ設定ガイドで別途解説しています。この記事はClaude全体(API・Web・Team・Enterprise)のセキュリティを扱います。
中国企業による蒸留攻撃——2026年2月の衝撃
2026年2月24日、AnthropicはDeepSeek、Moonshot AI、MiniMaxの3社による組織的な「蒸留攻撃(Distillation Attack)」を公表しました。
蒸留攻撃とは何か
蒸留攻撃とは、高性能なAIモデル(この場合はClaude)に大量の質問を投げかけ、その回答データを収集して、自社の低性能モデルを学習・改善するという手法です。AIモデルの「知識や推論能力」を合法的な再現なしに盗み出す行為です。
Anthropicはサービス規約で中国からの商用アクセスを制限していますが、3社は商業プロキシサービスを利用してこの制限を回避しました。
攻撃の規模と手口
| 項目 | 詳細 |
|---|---|
| 偽アカウント数 | 約24,000アカウント |
| 総クエリ数 | 約1,600万件 |
| 単一プロキシネットワーク | 20,000以上のアカウントを同時管理 |
| 手口 | 蒸留トラフィックを通常の顧客リクエストに混ぜて検出を困難に |
| 攻撃期間 | 公表されていないが長期にわたる組織的な活動 |
各社の狙ったターゲット
| 企業名 | 蒸留の対象 |
|---|---|
| DeepSeek | 多様なタスクにわたる推論能力、検閲回避応答の生成 |
| Moonshot AI | エージェント型推論とツール使用、コーディングとデータ分析 |
| MiniMax | エージェント型コーディング、ツール使用とオーケストレーション |
Anthropicは「不正蒸留されたモデルには必要なセーフガードが欠如しており、重大な国家安全保障上のリスクをもたらす」と警告しています。特に、これらのモデルがオープンソース化された場合、制御不能な拡散リスクが生じます。
AIガバナンス全般についてはAI導入戦略ガイドも参照してください。
Claudeのプラン別セキュリティ・データポリシー比較
蒸留攻撃の話は「Anthropicが被害を受けた」という話ですが、企業ユーザーにとって重要なのは「自分の入力データはどう扱われるのか」という点です。
| 項目 | 無料Web | Pro(月20ドル) | Team(月25ドル〜) | Enterprise | API(商用) |
|---|---|---|---|---|---|
| モデル学習への使用 | 可能性あり | オプトアウト可 | 対象外 | 対象外 | 対象外 |
| ゼロデータ保持(ZDR) | なし | なし | なし | オプション追加可 | ZDR契約で可 |
| SSO(SAML/OIDC) | なし | なし | なし | あり | N/A |
| 監査ログ | なし | なし | 限定的 | あり(Compliance API) | なし |
| データ保持期間設定 | なし | なし | なし | カスタム設定可 | ZDR契約で即時削除 |
| SCIM(ユーザー管理自動化) | なし | なし | なし | あり | N/A |
| 暗号化 | TLS(転送中) | TLS+AES-256(保存中) | TLS+AES-256 | TLS+AES-256 | TLS+AES-256 |
最重要ポイント: 無料Webプランのデータ扱い
Claude.aiの無料プランは、入力内容がAnthropicのモデル改善に使用される可能性があります。これは業務で使う場合に大きなリスクになります。特に注意が必要なのは:
- 顧客情報・個人情報を含むテキスト
- 未発表の製品・サービス情報
- 財務データ・予算情報
- 契約書・法的文書
Proプランはオプトアウト機能がありますが、デフォルトでは有効になっていない点に注意が必要です。
企業がClaude利用時に取るべきセキュリティ対策5選
対策1: プランを業務リスクレベルに合わせて選択する
「なんとなく無料プランを使っている」状態は最も危険です。扱う情報のリスクレベルに応じてプランを選択することが基本です。
プラン選択の判断基準:
【無料Web/Proプラン OK な業務】
・公開情報の要約・翻訳
・一般的な文章の校正
・個人情報を含まない学習・調査
【TeamまたはAPI推奨の業務】
・社内業務フローへの組み込み
・複数メンバーでの共有利用
・業務データを含む処理
【Enterpriseが必要な業務】
・医療・金融・法務などの規制業界
・SOC2/ISO27001などの認証が必要
・大量の機密データを定常処理
・監査ログが法的に必要なケース対策2: ゼロデータ保持(ZDR)契約を検討する
ZDR(Zero Data Retention)は、リクエストが処理された後、プロンプト・出力・メタデータを全て即時削除する契約オプションです。Anthropic側でのデータ保持が一切なくなるため、情報漏洩リスクが大幅に低下します。
ZDRが適用される条件:
- Claude for EnterpriseでZDR追加契約(アカウントチームへ申請)
- APIでZDR契約(商用APIのZDR addendum)
- Claude Code on Enterpriseでも有効化可能(組織単位で個別設定必要)
ZDR検討チェックリスト:
□ GDPR、HIPAA、個人情報保護法などの規制対象か?
□ 顧客データを定常的にClaudeで処理するか?
□ 社内のセキュリティポリシーで「外部サービスへのデータ保持ゼロ」が求められているか?
□ 監査対応でデータの所在証明が必要か?
上記のうち1つでも当てはまる場合、ZDR契約を検討すること対策3: SSO(シングルサインオン)でアカウント管理を一元化する
Enterpriseプランは、SAML 2.0およびOIDC規格のSSOに対応しています。SSOを導入することで:
- 退職者アカウントの即時無効化が可能
- 多要素認証(MFA)を全社で強制できる
- 社員が勝手に個人アカウントで使うリスクを低減
- SCIMでユーザープロビジョニングを自動化
研修現場でよく聞くのが「退職した社員のClaudeアカウントがそのまま生きていた」という問題です。SSOを通じてIDプロバイダー(Microsoft Entra ID、Okta等)で一元管理することで、このリスクを排除できます。
SSO設定の前に確認すること:
□ 社内のIDプロバイダーは何か(Entra ID / Okta / Google Workspace 等)
□ SAML 2.0 または OIDC に対応しているか
□ ドメインキャプチャ(@会社ドメインでのサインアップを強制)を有効にするか
□ SCIMでのプロビジョニング自動化を行うか対策4: 監査ログとCompliance APIで利用実態を把握する
EnterpriseプランのCompliance APIを使うと、以下の情報をプログラムで取得できます:
- 誰がいつClaude を使ったか
- どんなクエリを送ったか(プロンプト内容)
- どんな出力を得たか
- どのモデル・バージョンを使ったか
これは単なる監視ではなく、セキュリティインシデント発生時の調査や、コンプライアンス監査への対応に不可欠なデータです。また、GDPR対応でデータの選択的削除が必要な場合も、Compliance APIを通じて対応できます。
【Compliance API 活用例(概念コード)】
# 特定ユーザーの過去30日の利用ログ取得
GET /v1/compliance/usage?user_id=XXX&since=2026-02-22
# 30日より古いデータの削除(GDPR対応)
DELETE /v1/compliance/data?older_than=30d
仮定した点は"仮定"と明記してください。
実際のAPI仕様はAnthropicのドキュメントを参照。対策5: 社内AIセキュリティポリシーの整備
技術的な対策だけでなく、社内ルールの整備も不可欠です。以下はAnthropicの蒸留攻撃事件を踏まえた最低限のポリシー要素です。
【Claudeセキュリティポリシー最低限テンプレート】
1. 利用可能なプランの指定
- 業務利用は[Team/Enterprise/API]プランのみ許可
- 無料・Proプランでの業務情報処理は禁止
2. 入力禁止情報の明示
- 顧客の個人情報(氏名・住所・連絡先)
- 財務情報(売上・原価・予算)
- 社外秘・機密文書の全文
- 契約書・法的文書の未加工テキスト
3. アカウント管理
- 業務アカウントは会社のSSOと連携必須
- 個人クレジットカードでのAPI利用禁止
- 退職時の即日アクセス権剥奪
4. インシデント報告
- Claudeに誤って機密情報を入力した場合は即時報告
- 報告先: [情報システム部/セキュリティ担当]
- 報告後の対応: Anthropicへのデータ削除申請検討
不足している情報があれば、最初に質問してから作業を開始してください。【要注意】よくある設定ミスと正しい対処法
失敗パターン1: TeamプランなのにZDR不要と思い込む
❌ よくある誤解: 「Teamプランは学習対象外だからZDRは必要ない」
⭕ 実態: Teamプランはモデル学習対象外ですが、データそのものはAnthropicのサーバーに一定期間保持されます。ZDRはEnterpriseまたはAPI ZDR契約でのみ利用可能です。規制業界や高機密業務では、TeamプランではなくEnterpriseへの移行が必要です。
失敗パターン2: APIキーを複数人で共有する
❌ よくある間違い: コスト削減のためにAPIキーをチームで共有する
⭕ 正しいアプローチ: APIキーは個人またはサービス単位で発行し、使用履歴を追跡可能にする。共有キーは責任の所在が不明確になり、漏洩時の被害範囲の特定と無効化が困難になる。
失敗パターン3: Claude.aiとAPI利用を混在させる
❌ 問題: Web版Claude.ai(Team)とAPI経由を同じプロジェクトで混在させる
⭕ 対策: データポリシーが異なるため、機密度の高い業務はAPIに統一するか、Enterpriseで一元管理する。混在はポリシー適用が複雑になり、コンプライアンス上のグレーゾーンが生まれる。
失敗パターン4: 監査ログを設定しても見ない
❌ よくある状況: Enterpriseで監査ログを有効化したが、定期的にレビューしていない
⭕ 正しい運用: 週次または月次で利用ログをレビューする担当者を決める。異常なクエリパターン(大量の機密情報っぽいテキストの送信、深夜帯の大量利用等)を検知するアラートを設定する。
失敗パターン5: セキュリティポリシーを作っても周知しない
研修現場でよく見るのが「ポリシーは作ったが、現場の社員が知らない」という状況です。特にAIツールは個人でも利用できるため、無意識のうちにポリシー違反が起きやすいです。研修での周知と、ツール選択時の案内(「このデータはClaudeのどのプランで処理していいか」)が重要です。
蒸留攻撃から学ぶ: AnthropicのAIセキュリティ対策
Anthropicが2026年2月に公表した蒸留攻撃への対応から、企業セキュリティへの示唆を引き出せます。
Anthropicが実施した対策
- 異常なクエリパターンの自動検出システム強化
- プロキシサービス経由のアクセスの識別・ブロック
- 中国IPからのアクセスに対する追加認証
- 蒸留攻撃特有のプロンプトパターンの識別
企業が得られる示唆
蒸留攻撃は「AIシステムへの大量・組織的なクエリ」が特徴です。これは企業内でも同様のリスクがあります。例えば、競合他社が御社の社内AIシステムに対して同様の情報収集を試みる可能性も将来的には否定できません。社内でAIを活用する際も、異常な利用パターン(1ユーザーが異常に多い回数APIを叩く、特定の業務情報に集中したクエリ等)を検知する仕組みを整えておくことが重要です。
Claude Team・Enterpriseの詳細機能比較
| 機能 | Team | Enterprise |
|---|---|---|
| 価格 | 月25ドル〜/ユーザー | 個別見積もり |
| 最少ユーザー数 | 2名〜 | 通常25名〜 |
| SSO(SAML/OIDC) | なし | あり |
| SCIM | なし | あり |
| 監査ログ | 限定的 | Compliance API完全対応 |
| ZDR | なし | オプション |
| カスタムデータ保持 | なし | あり |
| ドメインキャプチャ | なし | あり |
| 優先サポート | あり | 専任CSM |
| コンテキスト長 | 200Kトークン | 200Kトークン |
| AWS Marketplace | なし | あり |
Claude APIのセキュリティ設計
開発者・IT部門向けに、API利用時のセキュリティ設計で押さえておくべきポイントを整理します。
APIキー管理のベストプラクティス
【APIキー管理のベストプラクティス】
1. キーのスコープ管理
- Workspaceレベルのキー: 全APIへのアクセス(本番環境では使わない)
- 用途別キー: 特定のサービス・機能に限定したキーを発行
- 定期ローテーション: 90日ごとのキー更新を自動化
2. 環境変数での管理(コードへのハードコード禁止)
# 正しい例(環境変数)
export ANTHROPIC_API_KEY="sk-ant-..."
# NGの例(コードに直書き)
client = Anthropic(api_key="sk-ant-...") # 絶対NG
3. シークレット管理サービスの利用
- AWS Secrets Manager
- HashiCorp Vault
- Azure Key Vault
仮定した点は"仮定"と明記してください。プロンプトインジェクション対策
社内でClaudeを使ったシステムを構築する際に見落としがちなのが「プロンプトインジェクション」です。ユーザー入力をそのままシステムプロンプトに組み込むと、悪意のある入力で意図しない動作を引き起こす可能性があります。
【プロンプトインジェクション対策の例】
# NG: ユーザー入力を直接プロンプトに組み込む
system_prompt = f"ユーザーの質問に答えてください: {user_input}"
# OK: ユーザー入力を安全に分離する
messages = [
{"role": "user", "content": user_input} # システムプロンプトとは別に送る
]
response = client.messages.create(
model="claude-sonnet-4-6",
system="あなたは社内業務アシスタントです。社外の情報は提供しないでください。",
messages=messages
)
不足している情報があれば、最初に質問してから作業を開始してください。Claude利用時のセキュリティ設定——ユーザー別チェックリスト
最後に、役割別の設定チェックリストをまとめます。今すぐ実施できるものから優先して対応してください。
情報システム部門・セキュリティ担当者向け
【今すぐ実施】
□ 社内でClaudeを使っているプランと人数を把握する
□ 無料・ProプランでClaude を業務利用しているケースを特定する
□ 機密情報を入力している業務フローを洗い出す
【今月中に実施】
□ 業務利用プランをTeam以上に統一する(予算申請)
□ 社内AIセキュリティポリシーを更新する
□ APIキーの管理台帳を作成・整備する
□ Enterpriseに移行済みの場合: SSO・監査ログを有効化する
【四半期ごとに実施】
□ 監査ログのレビューと異常パターンの確認
□ APIキーのローテーション
□ ポリシーの更新(AnthropicのTOS変更に追従)経営者・DX推進担当向け
【判断が必要な項目】
□ Claude利用の全社ライセンス契約をどのレベルにするか
→ 通常業務: Team / 規制業界・高機密業務: Enterprise
□ ZDR(ゼロデータ保持)が必要か
→ 医療・金融・法務など規制業界では必須
□ 競合AI(ChatGPT、Gemini等)との使い分けポリシーを決めるか
□ AI利用の監査体制(コンプライアンス担当者の任命)一般業務ユーザー向け
【今すぐ確認】
□ 使っているプランを確認する(claude.ai → 設定 → プラン)
□ 無料・Proプランの場合、以下は入力しない:
- 顧客の個人情報
- 社外秘文書の全文
- 財務・予算データ
□ 機密情報を誤って入力した場合は即座に情報システム部門へ報告するよくある質問(FAQ)
Q: Claude.aiのTeamプランでは入力内容が学習に使われますか?
A: TeamプランはAnthropicのモデル改善のための学習対象外とされています。ただし、データはAnthropicのサーバーに一定期間保持されます。完全なデータ保持ゼロが必要な場合はEnterprise+ZDRが必要です。
Q: 中国企業の蒸留攻撃は一般ユーザーに影響しますか?
A: 直接的な影響は「蒸留で作られた低品質なモデルが広まること」による安全保障リスクです。一般企業ユーザーのデータが盗まれたわけではなく、Claudeのモデルの能力が不正コピーされた問題です。ただし、蒸留に使われたプロンプトにはフェイクアカウント経由のものが含まれており、Anthropicのセキュリティリソースがその対応に費やされた点は間接的な影響です。
Q: APIを使えばWebプランより安全ですか?
A: Anthropicの商用APIは、入力データをモデル学習に使用しないことが明示されています。ZDR契約を追加すれば保持もなくなります。セキュリティの観点では、認証不要のWeb版より適切なAPIキー管理を行ったAPIの方が企業利用に向いています。
Q: EnterpriseプランとAPIはどちらが安全ですか?
A: 用途によって異なります。複数ユーザーが使う場合はEnterpriseの方がSSO・監査ログ・SCIMなど管理機能が充実しています。特定のサービスに組み込む場合はAPIが適しています。最高のセキュリティにはEnterprise+ZDRがベストです。
まとめ: 今日から始める3つのアクション
- 今日やること: 社内でClaudeを使っているプランを確認し、無料・Proプランで機密情報を処理していないかをチェックする。問題があれば即日利用停止とルール周知を行う
- 今週中: IT部門・情報セキュリティ担当者と協力して、Claudeの利用プランと扱う情報のリスクレベルを照合し、必要に応じてTeam・Enterprise移行の稟議を起案する
- 今月中: 社内AIセキュリティポリシーを「プラン別の入力禁止情報リスト」を含む形で更新し、全社員への周知と研修を実施する
参考・出典
- Detecting and Preventing Distillation Attacks — Anthropic(参照日: 2026-03-23)
- Anthropic accuses DeepSeek, Moonshot and MiniMax of distillation attacks on Claude — CNBC(参照日: 2026-03-23)
- Anthropic Says Chinese AI Firms Used 16 Million Claude Queries to Copy Model — The Hacker News(参照日: 2026-03-23)
- Custom data retention controls for Enterprise plans — Anthropic Privacy Center(参照日: 2026-03-23)
- Claude Enterprise — Anthropic(参照日: 2026-03-23)
- Anthropic accuses Chinese AI labs of mining Claude as US debates AI chip exports — TechCrunch(参照日: 2026-03-23)
著者: 佐藤傑(さとう・すぐる)
株式会社Uravation代表取締役。早稲田大学法学部在学中に生成AIの可能性に魅了され、X(旧Twitter)で活用法を発信(@SuguruKun_ai、フォロワー約10万人)。100社以上の企業向けAI研修・導入支援を展開。著書『AIエージェント仕事術』(SBクリエイティブ)。SoftBank IT連載7回執筆(NewsPicks最大1,125ピックス)。
ご質問・ご相談はお問い合わせフォームからお気軽にどうぞ。
