Claude Code バックドア警告(2.1.91–2.1.196):隠写術の技術解析と開発者対処ガイド(2026)
2026年7月8日、中国工业和信息化部のサイバーセキュリティ脅威・脆弱性情報共有プラットフォーム(NVDB)は、AnthropicのAIプログラミングツール Claude Code が v2.1.91–2.1.196 において深刻なセキュリティバックドアリスクを抱えると警告しました。AIコーディングツールをお使いの方は、今すぐ claude --version でバージョンを確認してください。本記事では規制当局の定性を軸に、タイムライン、隠写術の技術メカニズム、NVDB/Anthropic/アリババ各社の声明、米中モデル蒸留の背景、個人・企業向け対処チェックリスト、5段階Runbook、FAQ10問を網羅します。
- 規制定性:NVDBは、内蔵監視メカニズムがユーザー同意なく地域・身元識別子等の機密情報を送信し得ると指摘。
- 影響バージョン:v2.1.91(4月2日)〜 v2.1.196(6月29日);修正版は v2.1.197+。
- 発火条件:
ANTHROPIC_BASE_URLが非公式エンドポイントを指す場合のみ——公式API利用者は影響なし。 - 企業連鎖:アリババは7月10日からClaude Code利用を禁止、内部ツールQoderへ移行。
- 即時アクション:アップグレードまたはアンインストール → ローカル残留の削除 → 開発端末の外向きトラフィック監査。
目次
一、課題:規制定性と技術詳細の混同——誤った表現は信頼性を損なう
- 煽りタイトルの誤解:「Claude Codeが全ユーザーを監視」という報道が散見されるが、実際は非公式
ANTHROPIC_BASE_URLを設定したプロキシ利用者のみが対象。技術読者はこの点で記事全体の信頼性を疑う。 - 「バックドア」と「実験」の定性対立:NVDBは「セキュリティバックドアリスク」、Anthropicは「反悪用/反蒸留実験」、技術界は「隠写術による秘密チャネル」——多方の緊張関係を示さないと一方的な宣伝に見える。
- コンプライアンスの緊急性:7月8日の公式定性が第一波、7月10日のアリババ禁止が第二波。企業ITは極めて短い時間でバージョン排查と外向き通信監査を完了する必要がある。
このニュースは単なる規制通報ではなく、Anthropicが中国関連ユーザーを識別するための埋め込み → 開発者の逆向解析暴露 → ベンダー謝罪・ロールバック → アリババ禁止 → 工信部がバックドアと定性という一連のストーリーである。正しい技術・管理判断にはこの連鎖の理解が不可欠です。
二、事件調査サマリー
2026年7月8日、中国工业和信息化部のサイバーセキュリティ脅威・脆弱性情報共有プラットフォーム(NVDB)は、米国Anthropic社のAIプログラミングツール Claude Code に深刻なセキュリティバックドアリスクが存在するとリスク警告を発表しました。
| 項目 | 内容 |
|---|---|
| リスクの性質 | 内蔵監視メカニズムが、ユーザー同意なく機密情報を送信可能 |
| 送信内容 | ユーザーの地域、身元識別子等の機密情報 |
| 影響バージョン | v2.1.91 〜 v2.1.196 |
| バージョン配布期間 | 2026年4月2日 〜 6月29日 |
| 公式対処勧告 | 影響バージョンの即時アンインストール/最新版へアップグレード;開発端末の外向き通信管理・トラフィック監視の強化 |
| 企業動向 | アリババ等が利用制限・禁止、内部代替ツールへ移行 |
| ベンダー回答 | Anthropicは「実験的」反悪用/反モデル蒸留措置と認め、後続バージョンで削除を約束 |
三、完全タイムライン
| 時期 | 出来事 |
|---|---|
| 2026年2月 | Anthropicが反モデル蒸留技術(分類器、行動フィンガープリント、情報共有等)への投資を公表 |
| 2026年3月 | Claude Code内部に秘密検知メカニズムが静かに導入(公開開示なし) |
| 2026-04-02 | Claude Code v2.1.91 リリース、秘密検知コードが配布開始 |
| 2026-04 〜 06 | 約20バージョンにわたり検知ロジックが継続、changelogに一度も記載なし |
| 2026-06-29 | v2.1.196 リリース(影響区間の最終バージョン) |
| 2026-06-30 | Redditユーザー LegitMichel777 が隠写術検知ロジックを初公開;Thereallo が技術分析を発表;Adnane Khan がGitHubで逆向レポート公開、v2.1.193/195/196で該当ロジックを検証 |
| 2026-07-01 | Anthropicエンジニア Thariq Shihipar がXで公開承認、3月導入の「実験的」反悪用/反蒸留措置と説明、翌日バージョンでロールバックを約束 |
| 2026-07-02 | Claude Code v2.1.197(一部報道ではv2.1.198)リリース、隠写検知コード削除、changelogに明示記載なし |
| 2026-07-03/04 | ロイター、TechCrunch報道:アリババが7月10日から社員のClaude Code及びAnthropic関連モデル利用を全面禁止、内部ツールQoderへ移行と内部通知 |
| 2026-07-08 | 工信部NVDBが正式リスク警告を発表、「深刻なセキュリティバックドアリスク」と定性 |
| 2026-07-10 | アリババ内部禁止令が正式発効 |
四、実際に影響を受けるユーザー:発火条件の説明(誤解防止の要)
秘密メカニズムは全ユーザーに対して有効ではありません。環境変数 ANTHROPIC_BASE_URL を設定し、APIリクエストを非公式エンドポイント(企業ゲートウェイ、サードパーティプロキシ、API中継/転売サービス)へ向けた場合にのみ発火します。公式 api.anthropic.com を利用する一般ユーザーは発火しません。
直接的な結果は、確認済みの「データ漏洩事故」よりもアカウント停止リスクの可能性が高い——公開報道では具体的な経済損失やデータ悪用は未確認。記述は「未開示の監視行為」と「コンプライアンスリスク」に焦点を当て、過度な煽りは避けるべきです。
五、技術メカニズムの詳細
5.1 環境偵察:「中国関連ユーザー」かどうかの判定
発火条件が成立すると、コードは2種類の判定を行います:
- システムタイムゾーン検知:
Asia/ShanghaiまたはAsia/Urumqiかどうか - プロキシドメインブラックリスト照合:
ANTHROPIC_BASE_URLのhostnameを内蔵リストと照合
ブラックリストは多方の逆向解析(LegitMichel777、Thereallo、Adnane Khan、Vincent Schmalbach等)によると147エントリ。中国大手テック企業ドメイン(アリ、百度、バイトダンス等)、中国AIラボキーワード(DeepSeek、Moonshot、智谱、MiniMax、Baichuan、StepFun、01.AI等)、既知のAPIプロキシ/転売ゲートウェイを含む。リストは XOR暗号化(キー91)+ Base64エンコード で二重難読化され、標準の strings 検索では直接抽出不可。
5.2 隠写エンコード:system promptを改ざんして結果を送信
本事件が「隠写術(steganography)」と呼ばれる理由——独立したデータ送信チャネルではなく、モデルへ送るsystem prompt自体を改ざんしている点にあります:
- 日付区切り:中国タイムゾーン命中時、日付形式が
2026-06-30(ハイフン)から2026/06/30(スラッシュ)へ変化 - Unicode単引用符の置換:
Today's date isの標準アポストロフィ'が、視覚的にほぼ区別不能だがUnicodeコードポイントが異なる3種類の引用符に置換され、「タイムゾーン命中/ドメイン命中/AIラボキーワード命中」の3つのブールフラグをエンコード
この仕組みは 1つの日付形式ビット + 3種類の引用符バリアント で約3bitの環境情報を、一見正常な英文の1文に隠します。セキュリティ研究者Adnane Khanはこれを "a covert information channel embedded in system prompts"(system promptに埋め込まれた秘密情報チャネル)と定義しました。
5.3 「通常のテレメトリ」との境界
Claude Code自体には通常のデータ収集(イベントログ、Datadog、OpenTelemetry等)があり、同種のCLI/IDE Agentツールでは珍しくありません。今回の論点は:
- 隠写術を使用し、ユーザーが発見・無効化できる正規テレメトリチャネルではない
- 約3ヶ月間、changelogに一切開示されなかった
- 特定地域と特定の商業競合相手を標的としたフィンガープリント
- ファイルシステム読み書き、Shellコマンド実行等の高権限を持つツールであり、「見えない動作」への許容度は本来より低い
5.4 バージョンと自查コマンド早見表
| 種別 | バージョン | 日付 |
|---|---|---|
| 秘密メカニズム含有の最初のバージョン | v2.1.91 | 2026-04-02 |
| 最後の影響バージョン | v2.1.196 | 2026-06-29 |
| 修正バージョン | v2.1.197(一部口径v2.1.198) | 2026-07-01/02 |
完全アンインストール時に削除すべき残留パス:macOS/Linux — ~/.claude、~/.claude.json、~/.cache/claude-code、~/.config/claude-code;Windows — %USERPROFILE%\.claude 及び関連キャッシュディレクトリ。企業シーンではアンインストールは終点ではなく、開発端末の外向きトラフィック監査が必要です。
引用可能なハードデータ:147 件のブラックリストドメインエントリ;約20 バージョンに未開示ロジックが継続;3 bit 隠写エンコード(1日付ビット + 3引用符バリアント)。
六、各社声明と用語対照
6.1 工信部 / NVDB
- 定性:深刻なセキュリティバックドアリスク
- 記述:内蔵監視メカニズムが、ユーザー同意なくリモートサーバーへユーザーの地域、身元識別子等の機密情報を送信
- 対処勧告:開発端末の全面排查 → アンインストールまたはアップグレード → コア業務ネットワークの外向き権限管理とトラフィック監視の強化
6.2 Anthropic / Thariq Shihipar
"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release."
翻訳の要点:「実験(experiment)」と定性し「バックドア(backdoor)」ではない。アカウント転売悪用防止とモデル蒸留防止が目的。補足:Anthropicは米上院銀行委員会に書簡を送り、アリババQwenチームが約 2.5万 の不正アカウント、2880万 回のインタラクションでClaudeモデル能力の窃取を試みたと申し立てた。
6.3 アリババ
- 内部通知の文言(SCMP、Ars Technica報道):"As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities."
- 発効日:2026年7月10日
- 範囲:Claude Code及びAnthropic関連モデル製品(Sonnet、Opus、Fable等)
- 代替案:内部プログラミングプラットフォーム Qoder
6.4 国際メディアの定性用語対照表
| ソース | 主要な定性用語 | ナラティブの焦点 |
|---|---|---|
| NVDB / 工信部 | backdoor code / security backdoor risk / severe threat | コンプライアンスとデータ外部送信リスク |
| CNBC / Reuters / CBS | security backdoor / built-in monitoring mechanism | 規制定性の中立転載 + 企業連鎖反応 |
| The Register | covert code / secret steganography system | 技術的批判 + 未開示アップデートへの説明責任 |
| Ars Technica | spyware-like tracking / secret Claude tracker | 信頼危機 + 政策分析 |
| Cybernews | "a nothing burger"(一部技術界の見解) | 過剰反応論、実質は反蒸留エンジニアリング手段 |
| Anthropic公式 | experiment / anti-abuse / anti-distillation measure | 正当な防御目的、悪意ある監視ではないと強調 |
七、背景:米中AI蒸留競争
これは孤立事件ではなく、2026年の米中AI競争の縮図です:
- Anthropicは長期間、中国及び「敵対地域」ユーザーへの直接アクセスを禁止。VPN、海外電話番号/クレジットカード、サードパーティプロキシで回避可能
- 2026年2月、北京大学と中国科学院の研究者が論文発表、主要中国大モデルの多くに海外モデルからの蒸留痕跡を検出したと報告
- Anthropicは以前、DeepSeek、Moonshot AI、MiniMax、アリババ等がClaude出力を無許可で自社モデル訓練に利用したと申し立て
- Claude Opus 4.8がテストで「自分はQwen/DeepSeekだ」と誤認した事例が、二重基準の証拠と一部で議論された
- 中国企業は自研/オープンソースモデル体系(DeepSeek、通义Qwen、Kimi/Moonshot、智谱、MiniMax等)へ移行。アリババ内部ツールQoderはこのトレンドの具体例
八、ファクトチェックと記述リスク
- ⚠️ 全ユーザーが監視されているわけではない——
ANTHROPIC_BASE_URLで非公式エンドポイントを経由するユーザーのみ発火 - ⚠️ 修正バージョン番号に2つの口径:多数の一次報道はv2.1.197、一部中国技術メディアはv2.1.198——「2.1.197以降」で統一推奨
- ⚠️ 「バックドア」は規制定性であり唯一の定性ではない——技術界は「隠写術検知メカニズム」またはcovert channelと表現
- ⚠️ 直接の結果はアカウント停止リスクであり、確認済みのデータ漏洩事故ではない
- ⚠️ バージョン公開日に微細な差異(6月29日/6月30日)——公式GitHub changelogを基準に推奨
九、バージョン対照と意思決定マトリクス
| ユーザーシナリオ | 検知発火 | 推奨アクション | リスクレベル |
|---|---|---|---|
| 公式 api.anthropic.com、BASE_URL未設定 | 否 | 影響バージョンなら2.1.197+へアップグレード推奨 | 低 |
| 企業ゲートウェイ/サードパーティプロキシ(BASE_URL設定済み) | 是 | 即時アップグレードまたはアンインストール;外向きトラフィック監査 | 高 |
| 中国タイムゾーン + プロキシエンドポイント | 是(二重シグナル) | アップグレード + 代替ツール評価(Qoder/Cursor等) | 高 |
| 企業社員(アリババ等が禁止済み) | — | 内部禁止令遵守、Qoderまたはコンプライアントな代替へ移行 | コンプライアンス強制 |
| v2.1.197+へアップグレード済み | 否(コード削除済み) | changelog透明性の継続監視;組織方針に基づき継続利用を評価 | 中 |
十、個人開発者と企業ITの対処チェックリスト
個人開発者 Checklist
- ☐
claude --versionで2.1.91–2.1.196区間か確認 - ☐
echo $ANTHROPIC_BASE_URLが非公式エンドポイントを指していないか確認 - ☐ v2.1.197+へアップグレード、または完全アンインストールと残留ディレクトリの削除
- ☐ Claude Code継続利用か、Cursor等の代替ツールへ移行するか評価
企業IT Checklist
- ☐ 開発端末のClaude Codeインストールとバージョン分布を全面排查
- ☐ コア業務ネットワークの外向き権限管理とトラフィック監視(egress filtering)を強化
- ☐ Claude Codeをソフトウェアホワイトリスト/ブラックリスト方針に組み込み評価
- ☐ 内部代替案(Qoder、自社Agentプラットフォーム、Macクラウド隔離ノード)を評価
- ☐ 対処プロセスをコンプライアンス監査用に記録
十一、5段階自查と対処Runbook
- バージョン確認:
claude --versionまたはnpm list -g @anthropic-ai/claude-codeを実行し、上表で影響区間か判断。 - エンドポイント確認:
echo $ANTHROPIC_BASE_URLを実行。api.anthropic.com以外を指す場合は高関心対象。 - アップグレードまたはアンインストール:
npm install -g @anthropic-ai/claude-code@latestまたはclaude update;完全削除なら~/.claude等の残留パスを削除。 - 外向きトラフィック監査(企業):開発端末から非認可AIサービスエンドポイントへの持続的外向き通信を確認;egress filteringを設定。
- 代替案評価:個人/企業シーンに応じ、Qoder、Cursor、または隔離MacクラウドノードでAgentワークフローを実行する選択肢を評価。
十二、よくある質問(FAQ)
Q1:Claude Codeにバックドアはありますか?
v2.1.91–2.1.196では、Anthropicが未開示の隠写術検知メカニズムを組み込んでいました。工信部NVDBはセキュリティバックドアリスクと定性し、Anthropicは反蒸留実験と説明し、v2.1.197で削除しました。
Q2:影響を受けるバージョンは?
v2.1.91(2026年4月2日)から v2.1.196(2026年6月29日)まで。v2.1.197以降へアップグレードしてください。
Q3:公式API利用者も監視されますか?
いいえ。ANTHROPIC_BASE_URL が非公式プロキシ/ゲートウェイを指す場合にのみ発火します。
Q4:バージョンの確認方法は?
ターミナルで claude --version を実行してください。
Q5:アンインストールすべきですか?
影響バージョンなら即時アップグレード。コンプライアンス要件のある企業は追加でアンインストールと外向きトラフィック監査を推奨します。
Q6:隠写術はどのように動作しますか?
system promptの日付区切りとUnicode単引用符バリアントを変更し、タイムゾーン/ドメイン/AIラボ命中フラグをエンコードします。
Q7:アリババはなぜ禁止しましたか?
アリババはClaude Codeを高リスクソフトウェアに指定し、7月10日から社員利用を禁止、Qoderへ移行しました。
Q8:changelogに開示されましたか?
いいえ。全影響バージョンおよび削除バージョンのchangelogに明示記載がありません。
Q9:現在は安全ですか?
v2.1.197+で関連コードは削除済み。継続利用は組織のリスク許容度次第です。
Q10:モデル蒸留と事件の関係は?
Anthropicは未承認転売と蒸留防止が目的と説明。アリババQwenチームが約2.5万の不正アカウントでClaudeを大規模蒸留したと申し立てています。
十三、まとめと免責事項
本記事の価値は規制ニュースの転載ではなく、規制定性 + 技術的隠写メカニズム + 米中AI競争背景の3本線を一本にすることにあります。個人開発者も企業ITも、現時点で最も実用的なアクションは:まずバージョン確認、次にエンドポイント確認、その後アップグレードまたはアンインストール、最後に外向きトラフィック監査です。
個人PCや非隔離のLinux VPS上でClaude Codeや同種AI Agentを継続運用することは基本開発は可能ですが、ベンダー透明性の不確実性、外向きトラフィック監査の困難、本番コードベース/シークレットとの同居という3つの長期リスクがあります。チームがコンプライアンス敏感または7×24 Agent本番シーンに入る際、VPSMAC M4 MacクラウドノードのレンタルによりAIプログラミングワークフローを専用Apple Silicon環境に隔離できます——SSHが唯一の入口、APIキーと本番資産の物理的分離、launchdによるプロセス安定性、完全なXcode/Appleツールチェーン互換性を維持。Claude Codeの代替が必要でmacOSネイティブ体験を犠牲にしたくないチームにとって、通常のVPSで無理やり環境を構築するより、監査可能で省心的な選択です。
免責事項:本記事は工信部NVDB公告および公開メディア報道に基づく整理・分析であり、法的助言やセキュリティ監査結論を構成しません。アンインストール、禁止、トラフィック管理措置を実施する前に、自組織のセキュリティ方針に基づき独自に評価してください。
十四、参考ソース
- IT之家:《工信部发布风险提示:Claude Code 存在安全后门》
- 新京报:《工信部:Claude Code存在安全后门隐患,危害严重》
- 36氪:《工信部首次定调:Claude Code危害严重》
- 腾讯云开发者社区:《Claude Code 被爆暗藏"木马"代码,Anthropic 官方出面承认并承诺回滚》
- CNBC — China warns about AI risks with Anthropic's Claude Code
- The Register — China: Ditch older Claude versions with backdoor code
- The Register — Anthropic is removing its covert code for catching Chinese competitors
- TechCrunch — Alibaba reportedly bans employees from using Claude Code
- Ars Technica — Secret Claude tracker shocks users after Anthropic's anti-surveillance stance
- The Decoder — Hidden code in Claude Code secretly flagged Chinese users
- Thereallo — Claude Code Is Steganographically Marking Requests
- Vincent Schmalbach — Claude Code Is Quietly Fingerprinting China-Linked API Routers
- Cybernews — Claude Code attempts to detect Chinese users: Fair?