Security 規制警告 2026.07.09

工信部が Claude Code のバックドアリスクを警告(2.1.91–2.1.196): 技術解説と開発者向け対応ガイド

2026年7月8日、中華人民共和国工业和信息化部サイバーセキュリティ脅威・脆弱性情報共有プラットフォーム(NVDB)がリスク警告を発表し、米国 Anthropic 社の AI プログラミングツール Claude Codev2.1.91 から v2.1.196セキュリティバックドアのリスクがあり、危害が深刻であると指摘しました。組み込み監視機構がユーザー同意なしに、ユーザー地域・識別情報などの機微情報をリモートサーバーへ送信する可能性があります。該当バージョンを使用している場合は、直ちに claude --version で確認し、v2.1.197 以上へ更新してください。

本記事は Claude Code 開発者、企業 IT・セキュリティ責任者向けに、次の3点を包括的に解説します。① Anthropic の埋め込みから開発者の逆解析暴露、ベンダーのロールバック、工信部の定性、阿里巴巴の使用禁止までの完全なストーリーライン。② ステガノグラフィ監視の技術原理と「誰が実際に影響を受けるか」の限定条件。③ バージョン確認、更新・アンインストール、企業向け外部通信管理の実践チェックリスト。コンプライアンスリスクと未開示監視行為に焦点を当て、確認済みデータ漏えい事故として誇張することは避けます。

01 工信部 Claude Code バックドア警告:TL;DR 要点

  • 規制上の定性:NVDB が 2026年7月8日に正式警告を発表し、「セキュリティバックドアのリスク、危害が深刻」と定性しました。
  • リスクの性質:組み込み監視機構が、ユーザー同意なしにユーザー地域・識別情報などの機微情報を送信する可能性があります。
  • 影響バージョン:v2.1.91(2026年4月2日リリース)から v2.1.196(2026年6月29日)まで、約3か月間 changelog に記載されませんでした。
  • 公式対応推奨:該当バージョンの直ちのアンインストールまたは最新セキュリティバージョンへの更新。開発端末の外部通信管理とトラフィック監視の強化。
  • 企業動向:阿里巴巴などが Claude Code の使用を制限または禁止。2026年7月10日から全社員が社内ツール Qoder へ移行。
  • ベンダー回答:Anthropic エンジニア Thariq Shihipar が3月に導入した「実験的」な乱用防止/反モデル蒸留対策であると認め、後続バージョンで削除を約束(v2.1.197 でロールバック済み)。
NVDB 公告の核心事実一覧
項目 内容
リスクの性質組み込み監視機構、ユーザー同意なしに機微情報を送信可能
送信内容ユーザー地域、識別情報などの機微情報
影響バージョンv2.1.91 から v2.1.196
バージョン公開期間2026年4月2日 から 6月29日
修正バージョンv2.1.197(一部口径では v2.1.198、2026年7月1–2日)

02 Claude Code バックドア事件の完全タイムライン

このニュースは表向き「規制通報」ですが、裏には完全なストーリーラインがあります。Anthropic が中国ユーザーを識別するための埋め込み → 開発者の逆解析暴露 → ベンダーの謝罪とロールバック → 阿里巴巴の使用禁止 → 工信部がバックドアと定性

2026年 Claude Code バックドア騒動の主要ノード
時期 イベント
2026年2月Anthropic が反モデル蒸留技術(分類器、行動指紋、情報共有など)への投資を公表
2026年3月Claude Code 内部で秘匿検出機構が静かに導入(公開開示なし)
2026-04-02Claude Code v2.1.91 リリース、秘匿検出コードがバージョンとともに配布開始
2026-04 〜 06約20バージョンの反復、検出ロジックが継続存在、changelog に一度も記載されず
2026-06-29v2.1.196 リリース(影響区間の最終バージョン)
2026-06-30Reddit ユーザー LegitMichel777 がステガノグラフィ検出ロジックを暴露。開発者 Thereallo が技術分析を公開。セキュリティ研究者 Adnane Khan が GitHub で逆解析レポートを公開し、v2.1.193/195/196 すべてに該当ロジックが存在することを検証
2026-07-01Anthropic エンジニア Thariq Shihipar が X で公開認め、3月導入の「実験的」乱用防止/反蒸留機構と説明、翌日バージョンでロールバックを約束
2026-07-02Claude Code v2.1.197 リリース、ステガノ検出コードを削除。ただし changelog にこの変更は明記されず
2026-07-03/04ロイター、TechCrunch 報道:阿里巴巴が社内通知、7月10日から全社員の Claude Code および Anthropic 関連モデル製品の使用禁止、社内ツール Qoder へ移行
2026-07-08工信部 NVDB が正式にリスク警告を発表、「セキュリティバックドアのリスク、危害が深刻」と定性
2026-07-10阿里巴巴の社内禁止令が正式発効

ブログのタイムリー性:7月8日の公式定性が今回の注目のピーク、7月10日の阿里巴巴禁止令発効が第二の小ピークです。技術詳細は当サイトの Claude Code ステガノグラフィ事件 深度解説 をご参照ください。

03 Claude Code はどのユーザーを監視するか:トリガー条件

重要な限定:すべてのユーザーが監視されるわけではありません。 秘匿機構は、環境変数 ANTHROPIC_BASE_URL を設定し、API リクエストを非公式エンドポイント(企業ゲートウェイ、第三者プロキシ、API 中継/転売サービス)に向けた場合にのみ発動します。公式 api.anthropic.com を使用する一般ユーザーはこの検出パスをトリガーしません

  • 論点一:多くの中国語メディア見出しが「Claude Code が全ユーザーを監視」と書いていますが、これは不正確です。技術読者はこれを根拠に信頼性を疑問視します。
  • 論点二:この機構の直接的な結果はアカウント停止リスクであり、確認済みの「データ漏えい事故」ではありません。公開報道ではユーザーが直接的な経済損失を被った事例は確認されていません。
  • 論点三:Claude Code はファイルシステムの読み書き、Shell コマンド実行など高権限を持ち、ユーザーは「見えない行為」に対する許容度が本来低いはずです。
  • 論点四:約3か月間、いかなるバージョン changelog にも開示されず、特定地域と商業競合相手向けの指紋識別を行っていました。

執筆と意思決定では区別してください:公式 API を使う開発者 vs プロキシ/ゲートウェイを使う開発者 vs コンプライアンス要件のある企業。三者のリスクエクスポージャーはまったく異なります。

04 Claude Code ステガノグラフィ監視機構:技術3ステップ解説

ステップ一:環境偵察——「中国関連ユーザー」かどうかを判定

トリガー条件が成立すると、コードは2種類の判定を行います。

  1. システムタイムゾーン検出:Asia/Shanghai または Asia/Urumqi かどうか
  2. プロキシドメインブラックリスト照合:ANTHROPIC_BASE_URL の hostname を組み込みリストと比較

ブラックリストは複数の逆解析分析(LegitMichel777、Thereallo、Adnane Khan、Vincent Schmalbach など)によると合計 147 エントリ。中国大手テック企業ドメイン(阿里巴巴、アリペイ、アント、百度、バイトダンスなど)、中国 AI ラボキーワード(DeepSeek、Moonshot AI、智譜、MiniMax、Baichuan、StepFun、01.AI など)、既知の API プロキシ/転売ゲートウェイドメインを網羅しています。リストは XOR 暗号化(キー 91)+ Base64 エンコード の二重難読化です。

ステップ二:ステガノエンコード——結果を「密かに」返送

本事件が通常の「テレメトリ(telemetry)」ではなく「ステガノグラフィ(steganography)」と呼ばれる理由:独立したデータ報告チャネルを使わず、モデルへ送る system prompt 自体を改ざんしていました。

  • 日付区切り文字:中国タイムゾーンに一致した場合、日付形式が 2026-06-30(ハイフン)から 2026/06/30(スラッシュ)に変わります
  • Unicode アポストロフィ置換:Today's date is 内の標準アポストロフィ ' が、視覚的にほぼ区別不能だが Unicode エンコードが異なる3種類のアポストロフィ文字に置換され、「タイムゾーン一致 / ドメイン一致 / AI ラボキーワード一致」の3つのブールフラグをエンコードします

セキュリティ研究者 Adnane Khan はこれを 「a covert information channel embedded in system prompts」(システムプロンプトに埋め込まれた隠れ情報チャネル)と定義しました。1つの日付形式ビット + 3種類のアポストロフィ変体で約3 bit の環境情報を、一見正常な英文の1文に隠しています。

Unicode アポストロフィと日付形式エンコード対照
検出状況 日付形式 アポストロフィ Unicode
デフォルト(一致なし)2026-06-30U+0027
中国機関/ディーラードメイン一致2026-06-30U+2019
中国 AI ラボキーワード一致2026-06-30U+02BC
ドメイン + ラボ両方一致2026-06-30U+02B9
中国タイムゾーン重畳2026/06/30(上記ルールに準ずる)

ステップ三:「通常テレメトリ」との境界

Claude Code 自体には通常のデータ収集(イベントログ、Datadog、OpenTelemetry など)があり、同種の CLI/IDE Agent ツールでは珍しくありません。今回の論点は:① 正規でユーザーが発見・無効化できる telemetry チャネルではなくステガノグラフィを使用。② 一度も開示されず約3か月継続。③ 特定地域と競合相手向けの指紋識別に特化。④ ツールが高権限を持ち、ユーザーは「見えない行為」に対する許容度が低い、という点です。

version-check.sh
claude --version
echo $ANTHROPIC_BASE_URL
npm install -g @anthropic-ai/claude-code@latest
claude update

完全アンインストール時に削除すべき残留パス:macOS/Linux:~/.claude~/.claude.json~/.cache/claude-code~/.config/claude-code。Windows:%USERPROFILE%\.claude および関連キャッシュディレクトリ。企業環境ではアンインストール後に開発端末のアウトバウンドトラフィック監査も推奨します。

05 NVDB、Anthropic、阿里巴巴:各主体の声明と用語対照

工信部 / NVDB

  • 定性:セキュリティバックドアのリスク、危害が深刻
  • 説明:組み込み監視機構が、ユーザー同意なしにリモートサーバーへユーザー地域・識別情報などの機微情報を送信
  • 対応推奨:開発端末の全面確認 → アンインストールまたは更新 → コア業務ネットワークセグメントの外部通信権限管理とトラフィック監視の強化

Anthropic / Thariq Shihipar(Claude Code チームエンジニア)

"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release."

翻訳の要点:「実験(experiment)」と定性し「バックドア(backdoor)」ではないと強調。目的はアカウント転売乱用防止、反モデル蒸留。Anthropic は米国上院銀行委員会に書簡を送り、阿里巴巴傘下 Qwen チームが約2.5万の不正アカウント、2880万回のインタラクションで Claude モデル能力の窃取を試みたと非難しました。

阿里巴巴

  • 社内通知の文言(SCMP、Ars Technica 引用):"As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities."
  • 発効日:2026年7月10日
  • 範囲:Claude Code および Anthropic 関連モデル製品(Sonnet、Opus、Fable など)
  • 代替案:社内プログラミングプラットフォーム Qoder
国際メディア/技術コミュニティの定性用語対照
出典 主要定性用語 ナラティブの焦点
NVDB / 工信部backdoor code / security backdoor risk / severe threatコンプライアンスとデータ外部送信リスク
CNBC / Reuters / CBSsecurity backdoor / built-in monitoring mechanism規制定性の中立転載 + 企業連鎖反応
The Registercovert code / secret steganography system技術的揶揄 + 未開示更新への説明責任
Ars Technicaspyware-like tracking / secret Claude tracker信頼危機 + 政策分析
Cybernews"a nothing burger"(一部技術界の見解)過剰反応と見なし、実質は反蒸留エンジニアリング手段
Anthropic 公式experiment / anti-abuse / anti-distillation measure正当な防御目的を強調、悪意ある監視ではない

06 事件の背景:米中 AI モデル蒸留之争

これは孤立事件ではなく、2026年の米中 AI 競争の縮図です。

  • Anthropic は長期間、中国および「敵対地域」ユーザーによる直接アクセスを禁止。ただし VPN、海外の携帯番号/クレジットカード、第三者プロキシで回避可能
  • 2026年2月、北京大学と中国科学院の研究者が論文を発表し、多数の主流中国大規模モデルに海外モデルからの蒸留痕跡が存在すると報告
  • Anthropic は以前、DeepSeek、Moonshot AI、MiniMax、阿里巴巴などが Claude 出力を無許可で利用し自社モデルを訓練したと非難
  • Claude Opus 4.8 がテストで「自分は Qwen / DeepSeek だ」と誤認した事例が暴露され、二重基準の証拠と一部で評される
  • 中国企業は自研/オープンソースモデル体系(DeepSeek、通義 Qwen、Kimi/Moonshot、智譜、MiniMax など)へ広く移行。阿里巴巴の社内ツール Qoder はこのトレンドの具体例

この背景線を理解することで、技術界の「バックドア vs 実験」「過剰反応 vs 合理的防御」の議論で客観性を保てます。目的(反蒸留)と手段(ステガノ、未開示)は分けて評価すべきです。

07 Claude Code バックドア騒動への対応:個人・企業チェックリスト

個人開発者 Checklist

  1. バージョン確認:claude --version を実行し、v2.1.91–2.1.196 区間内か確認します。
  2. プロキシ設定確認:echo $ANTHROPIC_BASE_URL を実行し、非公式エンドポイントを指していないか確認します。
  3. 直ちに更新:npm install -g @anthropic-ai/claude-code@latest または claude update を実行し、v2.1.197 以上へ更新します。
  4. システムタイムゾーン確認:Asia/Shanghai / Asia/Urumqi かどうか確認します(プロキシ使用時は特に注意)。
  5. 必要に応じて完全アンインストール:~/.claude~/.claude.json などの残留ディレクトリを削除後、最新版を再インストールします。
  6. 代替ツールの評価:シナリオに応じて通義灵码、Cursor、Qoder などを検討し、「テレメトリの透明性」を選定基準に加えます。

企業 IT Checklist

  1. 開発端末の全面確認:Claude Code がインストールされたすべてのワークステーションと CI ノードを把握します。
  2. 強制更新または禁止:v2.1.91–2.1.196 を強制更新。コンプライアンス要件のある企業は阿里巴巴の先例を参考に使用禁止も検討します。
  3. アウトバウンドトラフィック監査:非許可 AI サービスエンドポイントへの継続的な外部通信がないか確認します。
  4. 外部通信権限管理:コア業務ネットワークセグメントのアウトバウンドフィルタリング(egress filtering)を強化します。
  5. 代替案の評価:社内ツール(Qoder など)または国産 AI プログラミングアシスタントへの移行パスを評価します。
  6. 制度文書の更新:第三者 AI ツールをソフトウェアホワイトリスト/ブラックリスト管理プロセスに組み込みます。

08 Claude Code バックドア事件の引用可能な技術データ

  • 影響バージョン区間:v2.1.91(2026-04-02)から v2.1.196(2026-06-29)まで、約20バージョンの反復。
  • 修正バージョン:v2.1.197(一部口径 v2.1.198、2026-07-01/02)、changelog に削除項目は明記されず。
  • ドメインブラックリストエントリ:約147件、XOR(91) + Base64 難読化保存。
  • エンコードチャネル容量:1つの日付形式ビット + 3種類のアポストロフィ変体 ≈ 3 bit 環境情報。
  • Anthropic 反蒸留非難の規模:阿里巴巴 Qwen チーム約2.5万不正アカウント、2880万回インタラクション(米国上院銀行委員会への書簡)。
  • 阿里巴巴禁止令発効日:2026年7月10日、Claude Code および Anthropic 全モデル製品を対象。

参考ソース:IT之家新京报CNBCThe RegisterThereallo、TechCrunch(阿里巴巴使用禁止報道)、Ars Technica。

免責事項:本記事は工业和信息化部 NVDB 公告および公開メディア報道に基づく整理・分析であり、技術・コンプライアンス参考のみを目的とし、法的意見またはセキュリティ監査結論を構成しません。アンインストール、禁止、トラフィック管理措置を実施する前に、自組織のセキュリティポリシーに基づき独自に評価してください。

09 Claude Code バックドアと工信部警告 FAQ

Q:Claude Code にバックドアはありますか?
A:v2.1.91–2.1.196 では Anthropic が未開示のステガノグラフィ指紋機構を組み込んでいました。工信部 NVDB はセキュリティバックドアのリスク、危害が深刻と定性しています。Anthropic は反蒸留実験と説明し、v2.1.197 で削除済みです。

Q:影響を受けるバージョンは?
A:v2.1.91(2026年4月2日)から v2.1.196(2026年6月29日)まで。v2.1.197 以上へ更新してください。

Q:公式 Anthropic API を使えば影響を受けますか?
A:いいえ。機構は ANTHROPIC_BASE_URL が非公式プロキシまたはゲートウェイを指す場合にのみ発動します。

Q:Claude Code のバージョン確認方法は?
A:ターミナルで claude --version を実行するか、npm list -g @anthropic-ai/claude-code で確認できます。

Q:Claude Code はまだ使えますか?
A:v2.1.197 以上に更新すれば技術リスクは修正済みです。企業にコンプライアンス要件があれば、追加でアンインストールとアウトバウンド監査も選択できます。公式 API を使用し該当バージョンでないユーザーは継続利用可能です。

Q:どのようなステガノグラフィ技術が使われましたか?
A:system prompt の日付区切り文字を改ざんし、Today's 内のアポストロフィを異なる Unicode 変体に置換して、タイムゾーン/プロキシ信号をエンコードしていました。

Q:阿里巴巴はなぜ Claude Code を禁止しましたか?
A:阿里巴巴はバックドアリスク報告を受けて、高リスクソフトウェアリストに追加。2026年7月10日から社員に社内ツール Qoder への移行を要求しました。

Q:Anthropic は release notes で開示しましたか?
A:いいえ。すべての影響バージョンの changelog にこの機構は記載されていません。

Q:Claude Code は今安全ですか?
A:Anthropic は v2.1.197 以上で関連コードを削除済みです。継続的な信頼は、所属組織のリスク許容度とコンプライアンスポリシーに依存します。

Q:モデル蒸留とこの事件の関係は?
A:蒸留とは、あるモデルの出力で別のモデルを訓練することです。Anthropic はこの機構が無許可転売業者と蒸留パイプライン向けであり、米中 AI 競争の大背景下での防御手段と説明していますが、実装方法は広く論争を呼んでいます。

10 結語:コンプライアンスリスク、技術的信頼、JEXCLOUD

今回の事件のブログ価値は「規制ニュースの復述」ではなく、3つの線を1本に束ねることにあります。規制定性(工信部警告)+ 技術的ステガノ機構(検証可能な逆解析証拠)+ 米中 AI 競争背景(蒸留戦)。「バックドア」は規制上の定性であり、技術界ではより正確に「ステガノグラフィ検出機構」または「covert channel」と呼ばれます。この緊張関係を提示することが、一方的なパニック煽りより説得力があります。

隔離環境で Claude Code または代替 AI プログラミングツールを運用する本番チームにとって、純ローカル開発機には3つの現実的弱点があります。家庭用回線の不安定による SSH/API 長時間接続の切断ノート PC 蓋閉じによる Agent タスクの中断複数開発者共有環境での権限境界監査の困難。より安定し AI Agent 自動化に適した本番環境として、JEXCLOUD 多リージョンベアメタル Mac が最適解です。専有 Apple Silicon 算力、7×24 オンライン、月次弾性スケール、120 秒デリバリー。Claude Code をクラウド Mac で重い AI コーディングタスクを実行し、ローカルは対話のみ。独立ネットワークとタイムゾーン設定でコンプライアンス分離も可能です。ノードと価格は JEXCLOUD 料金ページ をご覧ください。