Claude Code バックドア警告(2.1.91–2.1.196):隠写術の技術解析と開発者対処ガイド(2026)

2026年7月8日、中国工业和信息化部のサイバーセキュリティ脅威・脆弱性情報共有プラットフォーム(NVDB)は、AnthropicのAIプログラミングツール Claude Code が v2.1.91–2.1.196 において深刻なセキュリティバックドアリスクを抱えると警告しました。AIコーディングツールをお使いの方は、今すぐ claude --version でバージョンを確認してください。本記事では規制当局の定性を軸に、タイムライン、隠写術の技術メカニズム、NVDB/Anthropic/アリババ各社の声明、米中モデル蒸留の背景、個人・企業向け対処チェックリスト、5段階Runbook、FAQ10問を網羅します。

ターミナルでClaude Codeのバージョン確認コマンドを表示——AIプログラミングツールのセキュリティ・コンプライアンス自查を象徴
要点速覧(TL;DR):

目次

一、課題:規制定性と技術詳細の混同——誤った表現は信頼性を損なう

  1. 煽りタイトルの誤解:「Claude Codeが全ユーザーを監視」という報道が散見されるが、実際は非公式 ANTHROPIC_BASE_URL を設定したプロキシ利用者のみが対象。技術読者はこの点で記事全体の信頼性を疑う。
  2. 「バックドア」と「実験」の定性対立:NVDBは「セキュリティバックドアリスク」、Anthropicは「反悪用/反蒸留実験」、技術界は「隠写術による秘密チャネル」——多方の緊張関係を示さないと一方的な宣伝に見える。
  3. コンプライアンスの緊急性:7月8日の公式定性が第一波、7月10日のアリババ禁止が第二波。企業ITは極めて短い時間でバージョン排查と外向き通信監査を完了する必要がある。

このニュースは単なる規制通報ではなく、Anthropicが中国関連ユーザーを識別するための埋め込み → 開発者の逆向解析暴露 → ベンダー謝罪・ロールバック → アリババ禁止 → 工信部がバックドアと定性という一連のストーリーである。正しい技術・管理判断にはこの連鎖の理解が不可欠です。

二、事件調査サマリー

2026年7月8日、中国工业和信息化部のサイバーセキュリティ脅威・脆弱性情報共有プラットフォーム(NVDB)は、米国Anthropic社のAIプログラミングツール Claude Code深刻なセキュリティバックドアリスクが存在するとリスク警告を発表しました。

項目内容
リスクの性質内蔵監視メカニズムが、ユーザー同意なく機密情報を送信可能
送信内容ユーザーの地域、身元識別子等の機密情報
影響バージョンv2.1.91 〜 v2.1.196
バージョン配布期間2026年4月2日 〜 6月29日
公式対処勧告影響バージョンの即時アンインストール/最新版へアップグレード;開発端末の外向き通信管理・トラフィック監視の強化
企業動向アリババ等が利用制限・禁止、内部代替ツールへ移行
ベンダー回答Anthropicは「実験的」反悪用/反モデル蒸留措置と認め、後続バージョンで削除を約束

三、完全タイムライン

時期出来事
2026年2月Anthropicが反モデル蒸留技術(分類器、行動フィンガープリント、情報共有等)への投資を公表
2026年3月Claude Code内部に秘密検知メカニズムが静かに導入(公開開示なし)
2026-04-02Claude Code v2.1.91 リリース、秘密検知コードが配布開始
2026-04 〜 06約20バージョンにわたり検知ロジックが継続、changelogに一度も記載なし
2026-06-29v2.1.196 リリース(影響区間の最終バージョン)
2026-06-30Redditユーザー LegitMichel777 が隠写術検知ロジックを初公開;Thereallo が技術分析を発表;Adnane Khan がGitHubで逆向レポート公開、v2.1.193/195/196で該当ロジックを検証
2026-07-01Anthropicエンジニア Thariq Shihipar がXで公開承認、3月導入の「実験的」反悪用/反蒸留措置と説明、翌日バージョンでロールバックを約束
2026-07-02Claude Code v2.1.197(一部報道ではv2.1.198)リリース、隠写検知コード削除、changelogに明示記載なし
2026-07-03/04ロイター、TechCrunch報道:アリババが7月10日から社員のClaude Code及びAnthropic関連モデル利用を全面禁止、内部ツールQoderへ移行と内部通知
2026-07-08工信部NVDBが正式リスク警告を発表、「深刻なセキュリティバックドアリスク」と定性
2026-07-10アリババ内部禁止令が正式発効

四、実際に影響を受けるユーザー:発火条件の説明(誤解防止の要)

秘密メカニズムは全ユーザーに対して有効ではありません。環境変数 ANTHROPIC_BASE_URL を設定し、APIリクエストを非公式エンドポイント(企業ゲートウェイ、サードパーティプロキシ、API中継/転売サービス)へ向けた場合にのみ発火します。公式 api.anthropic.com を利用する一般ユーザーは発火しません

直接的な結果は、確認済みの「データ漏洩事故」よりもアカウント停止リスクの可能性が高い——公開報道では具体的な経済損失やデータ悪用は未確認。記述は「未開示の監視行為」と「コンプライアンスリスク」に焦点を当て、過度な煽りは避けるべきです。

五、技術メカニズムの詳細

5.1 環境偵察:「中国関連ユーザー」かどうかの判定

発火条件が成立すると、コードは2種類の判定を行います:

  1. システムタイムゾーン検知Asia/Shanghai または Asia/Urumqi かどうか
  2. プロキシドメインブラックリスト照合ANTHROPIC_BASE_URL のhostnameを内蔵リストと照合

ブラックリストは多方の逆向解析(LegitMichel777、Thereallo、Adnane Khan、Vincent Schmalbach等)によると147エントリ。中国大手テック企業ドメイン(アリ、百度、バイトダンス等)、中国AIラボキーワード(DeepSeek、Moonshot、智谱、MiniMax、Baichuan、StepFun、01.AI等)、既知のAPIプロキシ/転売ゲートウェイを含む。リストは XOR暗号化(キー91)+ Base64エンコード で二重難読化され、標準の strings 検索では直接抽出不可。

5.2 隠写エンコード:system promptを改ざんして結果を送信

本事件が「隠写術(steganography)」と呼ばれる理由——独立したデータ送信チャネルではなく、モデルへ送るsystem prompt自体を改ざんしている点にあります:

この仕組みは 1つの日付形式ビット + 3種類の引用符バリアント で約3bitの環境情報を、一見正常な英文の1文に隠します。セキュリティ研究者Adnane Khanはこれを "a covert information channel embedded in system prompts"(system promptに埋め込まれた秘密情報チャネル)と定義しました。

5.3 「通常のテレメトリ」との境界

Claude Code自体には通常のデータ収集(イベントログ、Datadog、OpenTelemetry等)があり、同種のCLI/IDE Agentツールでは珍しくありません。今回の論点は:

  1. 隠写術を使用し、ユーザーが発見・無効化できる正規テレメトリチャネルではない
  2. 約3ヶ月間、changelogに一切開示されなかった
  3. 特定地域と特定の商業競合相手を標的としたフィンガープリント
  4. ファイルシステム読み書き、Shellコマンド実行等の高権限を持つツールであり、「見えない動作」への許容度は本来より低い

5.4 バージョンと自查コマンド早見表

種別バージョン日付
秘密メカニズム含有の最初のバージョンv2.1.912026-04-02
最後の影響バージョンv2.1.1962026-06-29
修正バージョンv2.1.197(一部口径v2.1.198)2026-07-01/02
# 現在のバージョンを確認 claude --version # 発火条件に関連するプロキシエンドポイントの設定を確認 echo $ANTHROPIC_BASE_URL # npmで最新版へアップグレード npm install -g @anthropic-ai/claude-code@latest # または内蔵コマンド claude update

完全アンインストール時に削除すべき残留パス:macOS/Linux — ~/.claude~/.claude.json~/.cache/claude-code~/.config/claude-code;Windows — %USERPROFILE%\.claude 及び関連キャッシュディレクトリ。企業シーンではアンインストールは終点ではなく、開発端末の外向きトラフィック監査が必要です。

引用可能なハードデータ147 件のブラックリストドメインエントリ;約20 バージョンに未開示ロジックが継続;3 bit 隠写エンコード(1日付ビット + 3引用符バリアント)。

六、各社声明と用語対照

6.1 工信部 / NVDB

6.2 Anthropic / Thariq Shihipar

"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release."

翻訳の要点:「実験(experiment)」と定性し「バックドア(backdoor)」ではない。アカウント転売悪用防止とモデル蒸留防止が目的。補足:Anthropicは米上院銀行委員会に書簡を送り、アリババQwenチームが約 2.5万 の不正アカウント、2880万 回のインタラクションでClaudeモデル能力の窃取を試みたと申し立てた。

6.3 アリババ

6.4 国際メディアの定性用語対照表

ソース主要な定性用語ナラティブの焦点
NVDB / 工信部backdoor code / security backdoor risk / severe threatコンプライアンスとデータ外部送信リスク
CNBC / Reuters / CBSsecurity backdoor / built-in monitoring mechanism規制定性の中立転載 + 企業連鎖反応
The Registercovert code / secret steganography system技術的批判 + 未開示アップデートへの説明責任
Ars Technicaspyware-like tracking / secret Claude tracker信頼危機 + 政策分析
Cybernews"a nothing burger"(一部技術界の見解)過剰反応論、実質は反蒸留エンジニアリング手段
Anthropic公式experiment / anti-abuse / anti-distillation measure正当な防御目的、悪意ある監視ではないと強調

七、背景:米中AI蒸留競争

これは孤立事件ではなく、2026年の米中AI競争の縮図です:

八、ファクトチェックと記述リスク

  1. ⚠️ 全ユーザーが監視されているわけではない——ANTHROPIC_BASE_URL で非公式エンドポイントを経由するユーザーのみ発火
  2. ⚠️ 修正バージョン番号に2つの口径:多数の一次報道はv2.1.197、一部中国技術メディアはv2.1.198——「2.1.197以降」で統一推奨
  3. ⚠️ 「バックドア」は規制定性であり唯一の定性ではない——技術界は「隠写術検知メカニズム」またはcovert channelと表現
  4. ⚠️ 直接の結果はアカウント停止リスクであり、確認済みのデータ漏洩事故ではない
  5. ⚠️ バージョン公開日に微細な差異(6月29日/6月30日)——公式GitHub changelogを基準に推奨

九、バージョン対照と意思決定マトリクス

ユーザーシナリオ検知発火推奨アクションリスクレベル
公式 api.anthropic.com、BASE_URL未設定影響バージョンなら2.1.197+へアップグレード推奨
企業ゲートウェイ/サードパーティプロキシ(BASE_URL設定済み)即時アップグレードまたはアンインストール;外向きトラフィック監査
中国タイムゾーン + プロキシエンドポイント是(二重シグナル)アップグレード + 代替ツール評価(Qoder/Cursor等)
企業社員(アリババ等が禁止済み)内部禁止令遵守、Qoderまたはコンプライアントな代替へ移行コンプライアンス強制
v2.1.197+へアップグレード済み否(コード削除済み)changelog透明性の継続監視;組織方針に基づき継続利用を評価

十、個人開発者と企業ITの対処チェックリスト

個人開発者 Checklist

企業IT Checklist

十一、5段階自查と対処Runbook

  1. バージョン確認claude --version または npm list -g @anthropic-ai/claude-code を実行し、上表で影響区間か判断。
  2. エンドポイント確認echo $ANTHROPIC_BASE_URL を実行。api.anthropic.com 以外を指す場合は高関心対象。
  3. アップグレードまたはアンインストールnpm install -g @anthropic-ai/claude-code@latest または claude update;完全削除なら ~/.claude 等の残留パスを削除。
  4. 外向きトラフィック監査(企業):開発端末から非認可AIサービスエンドポイントへの持続的外向き通信を確認;egress filteringを設定。
  5. 代替案評価:個人/企業シーンに応じ、Qoder、Cursor、または隔離MacクラウドノードでAgentワークフローを実行する選択肢を評価。

十二、よくある質問(FAQ)

Q1:Claude Codeにバックドアはありますか?

v2.1.91–2.1.196では、Anthropicが未開示の隠写術検知メカニズムを組み込んでいました。工信部NVDBはセキュリティバックドアリスクと定性し、Anthropicは反蒸留実験と説明し、v2.1.197で削除しました。

Q2:影響を受けるバージョンは?

v2.1.91(2026年4月2日)から v2.1.196(2026年6月29日)まで。v2.1.197以降へアップグレードしてください。

Q3:公式API利用者も監視されますか?

いいえ。ANTHROPIC_BASE_URL が非公式プロキシ/ゲートウェイを指す場合にのみ発火します。

Q4:バージョンの確認方法は?

ターミナルで claude --version を実行してください。

Q5:アンインストールすべきですか?

影響バージョンなら即時アップグレード。コンプライアンス要件のある企業は追加でアンインストールと外向きトラフィック監査を推奨します。

Q6:隠写術はどのように動作しますか?

system promptの日付区切りとUnicode単引用符バリアントを変更し、タイムゾーン/ドメイン/AIラボ命中フラグをエンコードします。

Q7:アリババはなぜ禁止しましたか?

アリババはClaude Codeを高リスクソフトウェアに指定し、7月10日から社員利用を禁止、Qoderへ移行しました。

Q8:changelogに開示されましたか?

いいえ。全影響バージョンおよび削除バージョンのchangelogに明示記載がありません。

Q9:現在は安全ですか?

v2.1.197+で関連コードは削除済み。継続利用は組織のリスク許容度次第です。

Q10:モデル蒸留と事件の関係は?

Anthropicは未承認転売と蒸留防止が目的と説明。アリババQwenチームが約2.5万の不正アカウントでClaudeを大規模蒸留したと申し立てています。

十三、まとめと免責事項

本記事の価値は規制ニュースの転載ではなく、規制定性 + 技術的隠写メカニズム + 米中AI競争背景の3本線を一本にすることにあります。個人開発者も企業ITも、現時点で最も実用的なアクションは:まずバージョン確認、次にエンドポイント確認、その後アップグレードまたはアンインストール、最後に外向きトラフィック監査です。

個人PCや非隔離のLinux VPS上でClaude Codeや同種AI Agentを継続運用することは基本開発は可能ですが、ベンダー透明性の不確実性、外向きトラフィック監査の困難、本番コードベース/シークレットとの同居という3つの長期リスクがあります。チームがコンプライアンス敏感または7×24 Agent本番シーンに入る際、VPSMAC M4 MacクラウドノードのレンタルによりAIプログラミングワークフローを専用Apple Silicon環境に隔離できます——SSHが唯一の入口、APIキーと本番資産の物理的分離、launchdによるプロセス安定性、完全なXcode/Appleツールチェーン互換性を維持。Claude Codeの代替が必要でmacOSネイティブ体験を犠牲にしたくないチームにとって、通常のVPSで無理やり環境を構築するより、監査可能で省心的な選択です。

免責事項:本記事は工信部NVDB公告および公開メディア報道に基づく整理・分析であり、法的助言やセキュリティ監査結論を構成しません。アンインストール、禁止、トラフィック管理措置を実施する前に、自組織のセキュリティ方針に基づき独自に評価してください。

十四、参考ソース