Claude Code バックドア問題を解説
ステガノグラフィ、影響バージョンと対処法(2026)

TL;DR:2026年7月8日、中国工業和信息化部(MIIT)傘下のサイバーセキュリティ脅威・脆弱性情報共有プラットフォーム(NVDB)がリスク警告を発表し、米国 Anthropic 社の AI プログラミングツール Claude Codev2.1.91 から v2.1.196深刻なセキュリティバックドアリスクがあると指摘しました。組み込み監視機構がユーザーの同意なく地域情報や識別子をリモートサーバーへ送信する可能性があるとされています。本記事では、Claude Code を利用中の開発者と企業 IT チーム向けに、イベントのタイムライン、システムプロンプト内ステガノグラフィの技術機構、NVDB・Anthropic・阿里巴巴の三方声明、米中 AI 蒸留戦争の背景を整理し、バージョン確認・アップグレード・アンインストール・企業コンプライアンス対応の6ステップチェックリストを提示します。ANTHROPIC_BASE_URL でプロキシエンドポイントを設定している場合は、直ちに claude --version でバージョンを確認してください。

01

NVDB 警告と Claude Code バックドア事件:完全タイムライン

今回のニュースは単なる「規制当局の通報」ではなく、一連の出来事の帰結です。Anthropic が中国関連ユーザーの識別コードを埋め込む → 開発者がリバースエンジニアリングで暴露 → ベンダーが謝罪してロールバック → 阿里巴巴が禁止 → MIIT がバックドアと定性という流れを理解することが、「Claude Code は今も使えるか」を判断する前提となります。

時期出来事
2026年2月Anthropic が反モデル蒸留技術(分類器、行動フィンガープリント、情報共有など)への投資を公表
2026年3月Claude Code 内部に隠蔽検出機構が静かに導入され、公開開示なし
2026-04-02Claude Code v2.1.91 リリース。隠蔽検出コードがバージョン配布に含まれる
2026年4月〜6月約20バージョンの反復で検出ロジックが継続存在。changelog に一度も記載なし
2026-06-29v2.1.196 リリース(影響範囲の最終バージョン)
2026-06-30Reddit ユーザー LegitMichel777 がステガノグラフィ検出を初公開。Thereallo が技術分析を発表。Adnane Khan が GitHub でリバースエンジニアリング報告を公開し、v2.1.193/195/196 に該当ロジックがあることを検証
2026-07-01エンジニア Thariq Shihipar が X で3月導入の「実験的」反悪用・反蒸留機構であることを認め、翌日のロールバックを約束
2026-07-02v2.1.197(一部報道では v2.1.198)リリース。ステガノグラフィ検出コードを削除。changelog には明記なし
2026-07-03/04ロイター、TechCrunch が報道:阿里巴巴は7月10日から Claude Code および Anthropic 関連モデルを全面禁止し、社内ツール Qoder へ移行
2026-07-08MIIT NVDB が正式リスク警告を発表。「セキュリティバックドアリスク、危害深刻」と定性
2026-07-10阿里巴巴の社内禁止令が正式発効
warning

論点の整理:Claude Code はファイルシステムの読み書きや Shell コマンド実行など高権限を持ちます。開発者は「見えない動作」に対してより低い許容度を持つべきです。今回の機構は約3ヶ月間未開示のまま存在し、直接の帰結はアカウント停止リスクとコンプライアンス上の懸念であり、現時点で確認された「データ漏洩事件」ではありません。過度な煽りを避け、未開示の監視行為そのものに焦点を当てて説明します。

02

誰が実際に影響を受けるか:監視のトリガー条件

最も誤解されやすく、かつ正確に説明すべき点です。隠蔽機構はすべてのユーザーに発動するわけではありません。「Claude Code が全ユーザーを監視する」という見出しは不正確であり、技術記事としての信頼性を損ないます。

ユーザータイプ検出の発動リスクレベル
公式 API ユーザー
ANTHROPIC_BASE_URL 未設定、api.anthropic.com へ直接接続
いいえ低(ただし v2.1.197 以降へのアップグレードを推奨)
企業ゲートウェイ / サードパーティプロキシユーザー
ANTHROPIC_BASE_URL が非公式エンドポイントを指す
はい高(v2.1.91–2.1.196 期間中にフィンガープリントされる)
中国タイムゾーン + プロキシドメインがブラックリストに命中はい最高(ステガノグラフィ符号が毎リクエストで送信される)
企業従業員(阿里巴巴など)高リスクソフトウェアに指定。7/10 から全面禁止

トリガー後、コードは2種類の環境偵察を行います。

  1. 1

    システムタイムゾーン検出:Asia/Shanghai または Asia/Urumqi かどうかを確認します

  2. 2

    プロキシドメインのブラックリスト照合:ANTHROPIC_BASE_URL の hostname を内蔵の 147 件のルールと照合します。阿里巴巴、百度、バイトダンス、DeepSeek、Moonshot、智谱、MiniMax など中国のテック企業・AI ラボ関連ドメイン、および既知の API 中継・転売ゲートウェイが含まれます

info

ブラックリストの難読化方式:リストは XOR 暗号化(キー 91)+ Base64 エンコードの二重難読化が施されており、strings コマンドでは直接抽出できません。バイナリの完全なリバースエンジニアリングが必要です。これが本事件が「ステガノグラフィ」と呼ばれる根拠の一つです。

03

Claude Code ステガノグラフィ監視機構:技術的3ステップ解説

セキュリティ研究者 Adnane Khan はこれを 「a covert information channel embedded in system prompts」(システムプロンプトに埋め込まれた隠蔽情報チャネル)と定義しました。独立したデータ送信チャネルは使わず、モデルへ送る system prompt 自体を改変しています。

ステップ一:日付区切り文字の変化

中国タイムゾーンに命中した場合、system prompt 内の日付形式が 2026-06-30(ハイフン)から 2026/06/30(スラッシュ)に変わり、1 bit の環境情報をエンコードします。

ステップ二:Unicode アポストロフィの置換

Today's date is の標準アポストロフィ ' が、視覚的にはほぼ判別不能だが Unicode コードポイントが異なる3種類のアポストロフィ文字に置き換えられます。それぞれ「タイムゾーン命中」「ドメイン命中」「AI ラボキーワード命中」の3つのブールフラグをエンコードします。

ステップ三:リクエストごとのサイレント送信

3 bit の環境情報が、一見正常な英文の1文の中に隠され、毎回の API リクエストとともに Anthropic サーバーへ送信されます。

観点今回のステガノグラフィ機構通常のテレメトリ(Datadog/OpenTelemetry 等)
開示方法約3ヶ月間 changelog に一切記載なし通常はプライバシーポリシーに概説あり
送信チャネルsystem prompt 内のステガノグラフィ符号独立したテレメトリチャネル。監査で発見可能
対象特定地域 + 商業競合のフィンガープリント一般的な利用統計とエラーログ
ツール権限ファイル読み書き + Shell 実行の高権限を併用同種の CLI/IDE Agent にもあるが、ユーザーは予期可能

影響バージョンと安全バージョンの早見表

区分バージョン日付
隠蔽機構を含む最初のバージョンv2.1.912026-04-02
最後の影響バージョンv2.1.1962026-06-29
修正バージョンv2.1.197(一部報道では 2.1.198)2026-07-01/02
bash
# 現在のバージョンを確認
claude --version

# トリガー条件に関連するプロキシエンドポイントの設定を確認
echo $ANTHROPIC_BASE_URL

# npm で最新版へアップグレード
npm install -g @anthropic-ai/claude-code@latest

# または組み込みコマンドを使用
claude update
04

各方の声明:NVDB、Anthropic、阿里巴巴の対照

MIIT / NVDB

定性:セキュリティバックドアリスク、危害深刻。内容:組み込み監視機構がユーザーの同意なくリモートサーバーへ地域情報や識別子などの機微情報を送信する可能性がある。処置勧告:開発端末の全面調査、アンインストールまたはアップグレード、コア業務ネットワークの外向き通信権限管理とトラフィック監視の強化。

Anthropic / Thariq Shihipar(Claude Code エンジニア)

「This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release.」

要約すると、「バックドア(backdoor)」ではなく「実験(experiment)」と位置づけ、未許可アカウント転売の悪用防止とモデル蒸留対策を強調しています。背景として、Anthropic は米国上院銀行委員会に書簡を送り、阿里巴巴 Qwen チームが約 2.5 万の不正アカウントで 2,880 万回のインタラクションを行い、Claude モデルの能力窃取を試みたと主張しています。

阿里巴巴(Alibaba)

社内通知の文言(SCMP、Ars Technica 引用):「As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities.」発効日は 2026年7月10日。対象は Claude Code および Anthropic 関連モデル製品(Sonnet、Opus、Fable シリーズなど)。代替手段は社内プログラミングプラットフォーム Qoder です。

情報源主要な定性用語報道の焦点
NVDB / MIITbackdoor / security backdoor risk / severe threatコンプライアンスとデータ外部送信リスク
CNBC / Reuterssecurity backdoor / built-in monitoring mechanism規制当局の定性と企業の連鎖反応を中立的に伝達
The Registercovert code / secret steganography system技術的説明責任と未開示アップデート
Ars Technicaspyware-like tracking / secret Claude tracker信頼危機と政策分析
Cybernews「a nothing burger」(一部技術コミュニティの見解)過剰反応と見なし、実質は反蒸留のエンジニアリング手段
Anthropic 公式experiment / anti-abuse / anti-distillation正当な防御目的を強調。悪意の監視ではないと主張
05

背景:米中 AI モデル蒸留戦争

これは孤立した事件ではなく、2026年の米中 AI 競争の縮図です。

  • Anthropic は長期にわたり中国および「敵対地域」のユーザーによる直接アクセスを禁止していますが、VPN、海外の電話番号・クレジットカード、サードパーティプロキシで回避するユーザーが存在します
  • 2026年2月、北京大学と中国科学院の研究者が論文を発表し、中国の主要大規模モデルの多くに海外モデルからの蒸留痕跡があると報告しました
  • Anthropic は以前、DeepSeek、Moonshot AI、MiniMax、阿里巴巴などが Claude の出力を無許可で自社モデルの訓練に利用したと主張しています
  • Claude Opus 4.8 がテスト中に「自分は Qwen / DeepSeek だ」と誤認した事例が報じられ、二重基準の証拠とするコメントもあります
  • 中国企業は自研・オープンソースモデル体系(DeepSeek、通義 Qwen、Kimi/Moonshot、智谱、MiniMax など)へ広く移行しており、阿里巴巴の社内ツール Qoder はこのトレンドの具体例です

この背景を理解することで、Anthropic が「蒸留」に対してなぜこれほど神経質だったのか、そして今回の埋め込みコード事件が技術コミュニティで「正当な防御 vs 越境した監視」という激しい議論を引き起こした理由が見えてきます。

06

Claude Code バックドア騒動への対処:6ステップチェックリスト

  1. 01

    バージョン確認:claude --version を実行し、v2.1.91–2.1.196 の範囲内かどうかを確認します

  2. 02

    エンドポイント確認:echo $ANTHROPIC_BASE_URL を実行し、非公式プロキシやゲートウェイ経由かどうかを確認します

  3. 03

    直ちにアップグレード:npm install -g @anthropic-ai/claude-code@latest または claude update で v2.1.197 以降へ更新します

  4. 04

    完全アンインストール(任意):macOS/Linux の残留パス ~/.claude~/.claude.json~/.cache/claude-code~/.config/claude-code を削除します

  5. 05

    企業の外向き通信監査:開発端末の外向きトラフィックを監査し、非許可 AI サービスエンドポイントへの継続的な外部接続がないか確認します。コア業務ネットワークの egress filtering を強化します

  6. 06

    代替案の評価:Qoder、通義灵码、Cursor などの国産・セルフホスト型ソリューションを客観的に比較し、チームのコンプライアンス方針に合わせて選定します

引用可能なハードデータ(E-E-A-T)

  • 影響バージョン範囲:v2.1.91(2026-04-02)から v2.1.196(2026-06-29)まで、約 3 ヶ月 changelog に未開示
  • プロキシドメインのブラックリスト:複数のリバースエンジニアリング分析により 147 件(LegitMichel777、Thereallo、Adnane Khan、Vincent Schmalbach らが独立検証)
  • ステガノグラフィ符号容量:日付形式 1 bit + Unicode アポストロフィ 3 種類 ≒ 3 bit の環境フィンガープリント。system prompt に埋め込まれ毎リクエストで送信
  • 阿里巴巴への蒸留指控規模:Anthropic の米国上院書簡では、Qwen チームが約 2.5 万の不正アカウント、2,880 万回のインタラクションと主張

国産代替ツール(通義灵码、Qoder など)への移行や、ローカル Mac 上での Claude Code 継続利用には、モデル能力の差、企業コンプライアンス承認の長期化、マルチ Agent 並列シナリオでのローカル算力ボトルネックが伴います。安定した iOS CI/CD パイプライン、AI Agent の自動化オーケストレーション、高リスク CLI ツールを管理された環境に隔離したい本番チームにとって、NodeMini の Mac Mini クラウドレンタルは有力な選択肢です。専用ハードウェア、SSH アクセス、監査可能な外向きトラフィックを備えたリモートノードで、より安全な運用が可能です。料金体系は Mac Mini レンタル価格ページ、Agent ツールの隔離運用ガイドは クラウド Mac ヘルプセンターをご参照ください。

免責事項:本記事は MIIT NVDB 公告および公開報道に基づく技術・コンプライアンス参考情報であり、法的助言やセキュリティ監査の結論を構成しません。アンインストール、禁止、トラフィック制御の実施前に、各組織のセキュリティ方針に基づき独自に評価してください。

FAQ

よくある質問

v2.1.91–2.1.196 では、Anthropic が未開示のステガノグラフィ検出コードを組み込んでいました。MIIT NVDB はセキュリティバックドアリスクと定性し、Anthropic は反蒸留実験と呼び v2.1.197 で削除しました。技術コミュニティではより正確に「ステガノグラフィ検出機構」または covert channel と表現します。関連技術の深掘りは ステガノグラフィ詳細解説記事をご覧ください。

いいえ。本機構は ANTHROPIC_BASE_URL が非公式プロキシやゲートウェイを指す場合にのみ発動します。api.anthropic.com へ直接接続する一般ユーザーはこの検出パスをトリガーしません。

npm uninstall -g @anthropic-ai/claude-code を実行し、~/.claude~/.claude.json などの残留ディレクトリを削除します。企業環境ではアンインストール後に外向きトラフィック監査も行うべきです。Agent 開発環境を隔離したい場合は NodeMini レンタルプランをご検討ください。

バックドアリスクが暴露された後、阿里巴巴は Claude Code を高リスクソフトウェアリストに追加し、2026年7月10日から社員全員の利用を禁止しました。Anthropic 関連モデルも対象です。社内ツール Qoder へ移行します。これは Anthropic が以前 Qwen チームの大規模蒸留を主張した背景と密接に関連しています。

いいえ。影響バージョン範囲の changelog には本機構への言及がありません。v2.1.197 での削除時も明示的な記載はありませんでした。The Register など海外メディアが説明責任の焦点としています。

Anthropic は v2.1.197 以降でステガノグラフィコードを削除しました。ただし継続利用は組織のリスク許容度とコンプライアンス方針に依存します。一部の技術コミュニティ(Cybernews など)は実質的に反蒸留のエンジニアリング手段であり過剰反応と見ています。企業ユーザーは自社の監査結果に基づいて判断すべきです。

蒸留とは、他モデルの出力を使って自社モデルを訓練することです。Anthropic は今回の機構が未許可転売業者と蒸留パイプラインへの対策であると説明しています。Anthropic の埋め込み動機と米中 AI 競争の背景を理解する鍵となります。Agent ツールのコンプライアンス運用は ヘルプセンターもご参照ください。

多くの一次報道では v2.1.197(7月1日)とされています。一部の中国語技術メディアでは v2.1.198 と報じています。「v2.1.197 以降」という表現を統一し、アップグレード前に claude --version で確認することを推奨します。

国内では Qoder(阿里巴巴社内)、通義灵码、Cursor などがあります。海外では Codex CLI、Gemini CLI などが選択肢です。選定にはモデル能力、コンプライアンス承認、算力要件のバランスが必要です。詳細は 4大 AI プログラミングアシスタント比較記事をご覧ください。

公開報道では、本機構により具体的なユーザーが直接的な経済損失やデータ悪用を受けた事例は確認されていません。直接の帰結はアカウント停止リスクとコンプライアンス上の懸念であり、確認された「データ漏洩事故」ではありません。未開示の監視行為とコンプライアンスリスクそのものに焦点を当てるべきです。