音声で聴く:ジョンとリラが本記事をもとに、現場視点と戦略視点から独自の見解をディスカッションしています。記事では詳細なデータと参照リンクをまとめています。
GoogleとOpenAIが警告する「蒸留攻撃」──AIモデルの知的財産がプロンプト経由で盗まれるリスク
導入
GoogleとOpenAIが同じ週に、中国のDeepSeekを含む競合がAIモデルの推論能力を窃取していると警告を発した。手法は「蒸留攻撃」と呼ばれる。数十億ドルを投じて構築したモデルの知的財産が、プロンプトを通じて抜き取られる時代に入っている。
この問題が厄介なのは、公開されたAIモデルの仕組みそのものが攻撃の入り口になっている点だ。
背景と課題
2026年2月、GoogleとOpenAIがそれぞれ独自にレポートや声明を公開し、AIモデルの知的財産に対する新たな脅威として「蒸留攻撃」の実態を明かした。背景にあるのは、米国のテック大手が数十億ドル規模の投資を行って育てたLLM(大規模言語モデル)の推論能力が、正規のアクセス手段を悪用されることで競合に「コピー」されているという事実だ。
Google Threat Intelligence Groupのチーフアナリストであるジョン・ハルトクイスト氏はThe Registerの取材に対し、「これは世界中の脅威アクターから来ている」と述べ、その実行者が「民間企業」であることを明かした。ただし、具体的な企業名や国名への言及は避けている。
ハルトクイスト氏は「あなたのモデルは本当に価値のある知的財産であり、その背後にあるロジックを蒸留できれば、その技術を複製できる現実的な可能性がある。それは安価ではない」とも語った。さらに「これは非常に重要な技術であり、複製に関心を持つ当事者のリストは無限だ」と警告している。
クリックで拡大表示
米国の大手テック企業がLLMの開発・訓練に巨額を投じてきた一方で、成熟したモデルへの正規アクセスを悪用し、その出力を新しいモデルの訓練データに転用すれば、競合は大幅に低いコストで独自のAIシステムを構築できる。この構造的な非対称性こそが問題の核心にある。
技術・内容解説
Googleはこのプロンプト経由のモデル複製プロセスを「蒸留攻撃」と呼んでいる。2月13日に公開されたレポートによれば、あるキャンペーンでは10万件を超えるプロンプトが使用され、「英語以外のターゲット言語における幅広いタスクでGeminiの推論能力を複製しようとした」とされる。
Googleはこの探索行為をリアルタイムで検出し、内部の推論トレースを保護したと述べている。だが同時に、蒸留攻撃はLLMの構造上、排除が極めて困難であることも認めている。公開されたAIモデルは広くアクセス可能であり、規約違反アカウントをブロックしても、いたちごっこになりやすい。
DeepSeekによる手法の高度化
OpenAIは同じ週に米下院の中国に関する特別委員会へ提出したメモ(PDF)で、DeepSeekやその他の中国のLLMプロバイダー、大学がChatGPTおよび米国企業のフロンティアモデルを模倣していると非難した。ロシアからの活動も一部確認されたとし、不正な蒸留が「米国主導の民主的AI」にリスクをもたらすと警告している。
OpenAIのメモによれば、中国側の蒸留手法はこの1年で高度化しており、単純な連鎖思考(CoT)の抽出から、複数段階のオペレーションへと進化した。具体的には、合成データの生成、大規模なデータクリーニング、その他のステルス的な手法が含まれる。
OpenAIはメモの中で特に踏み込んだ記述を行っている。DeepSeekの従業員に関連するアカウントが、OpenAIのアクセス制限を回避する手法を開発していたこと、難読化されたサードパーティルーターなどを通じてソースを隠蔽してモデルにアクセスしていたこと、さらにDeepSeekの従業員が米国のAIモデルにアクセスし蒸留用の出力をプログラム的に取得するコードを開発していたことが記されている。DeepSeekは他の米国ラボのフロンティアモデルにもサードパーティルーターを経由してアクセスしていると考えられる、とOpenAIは述べている。
よくある誤解
誤解1:「モデルのソースコードが盗まれている」
蒸留攻撃はソースコードの窃取とは異なる。モデルに大量のプロンプトを投げ、その出力パターンから推論ロジックを逆推定し、自前のモデルの訓練に利用する手法だ。正規のAPIアクセスが悪用される点が従来のハッキングとは本質的に異なる。
誤解2:「利用規約で禁止すれば防げる」
Google・OpenAI双方とも利用規約で蒸留目的のアクセスを禁じ、違反アカウントのブロックや法的措置も取り得るとしている。だが公開モデルへのアクセスは広く開かれており、アカウントを変えて再アクセスするだけで回避できてしまう。Googleが「モグラ叩きのゲーム」になると認めているのはこの構造的な問題を指す。
誤解3:「被害を受けるのは大手AIラボだけ」
ハルトクイスト氏は、今後より多くの企業が自社モデルを構築し内部の機密データで訓練するようになると、蒸留攻撃のリスクは拡大すると警告している。金融機関など、自社モデルを外部に提供する組織も標的になり得るとの見方だ。
用語解説
- 蒸留攻撃(Distillation Attack)
- AIモデルにプロンプトを大量送信し、その応答を分析することでモデルの推論能力を別のモデルに転写する手法。Googleが自社レポートで使用している用語。
- 連鎖思考(Chain-of-Thought, CoT)
- LLMが段階的に推論プロセスを展開する手法。蒸留攻撃の初期段階では、このCoTの出力を抽出することが主な手口だった。
- フロンティアモデル
- 各時点での最高性能を持つ最先端のAIモデルを指す。OpenAIのメモではChatGPTや米国ラボのモデル群をこう呼んでいる。
- サードパーティルーター
- APIへのアクセスを中継する第三者のサービス。アクセス元を隠蔽する手段として悪用されるケースが今回報告されている。
- 推論トレース
- AIモデルが回答に至るまでの内部的な推論過程の記録。Googleはこの推論トレースを保護したとレポートで述べている。
インパクト・活用事例
この問題のインパクトは、AIモデル開発のコスト構造を根底から揺さぶる点にある。数十億ドルを投じたモデルの推論能力が、比較的低コストの蒸留手法で模倣されうるなら、巨額の研究開発投資に対するリターンの構造が変わってくる。
OpenAIは、蒸留問題の解決には単独のラボでは不十分であり、「エコシステムセキュリティ」のアプローチが必要だと述べている。米国政府の支援も不可欠であるとし、具体的には情報と情報活動の共有、業界と連携した蒸留防御のベストプラクティス策定、APIルーターの抜け穴を塞ぐ法整備、「敵対者」による米国のコンピューティングおよびクラウドインフラへのアクセス制限を議会に求めている。
正直なところ、この問題は米中のAI覇権争いという文脈だけで語るべきものではない。ハルトクイスト氏が指摘するように、金融機関をはじめ自社モデルを運用するあらゆる企業が同じリスクにさらされうる。日本国内でも大手金融機関や製造業がLLMの社内導入を進めている状況を考えれば、自社モデルへの蒸留攻撃リスクは決して対岸の火事ではない。
OpenAIのメモでは、DeepSeekだけでなく「その他の中国のLLMプロバイダーおよび大学」にも言及されている。また、ロシアからの散発的な活動も確認されたとされ、蒸留攻撃は単一の国や組織に限定された脅威ではないことが示唆されている。
関連する動き
元記事では関連情報として、中国のAPT31がGeminiを使って米国組織へのサイバー攻撃を計画していたとするGoogleの報告や、最先端LLMが推論過程を表示する仕組みが悪用されるリスクの研究、AIブラウザにおけるセキュリティ上の欠陥、「=coffee」のような文字列でAIのガードレールを突破する研究なども紹介されている。蒸留攻撃は、AIセキュリティ上の広範な課題群の一角に位置づけられる。
アクションガイド
AIモデルを提供する企業・組織向け
保存用チェックリスト
- 自社モデルへの大量プロンプト送信を検知する異常検知システムが導入されているか
- APIアクセスログを定期的に分析し、蒸留を疑われるパターン(同一アカウントからの大量の多様なプロンプト等)を監視しているか
- 利用規約にモデル蒸留の禁止条項が明記されているか
- サードパーティルーター経由のアクセスに対する識別・制限策を講じているか
- 推論トレースなど内部情報の外部漏洩を防ぐ仕組みがあるか
- 違反アカウントの検知からブロックまでのレスポンスタイムは許容範囲か
- 業界横断での情報共有の枠組みに参加、もしくは参加を検討しているか
AIモデルを利用する企業・技術者向け
- 利用しているAIモデルの利用規約を改めて確認し、蒸留に該当する行為の範囲を把握する
- 社内でのAIモデル利用がサプライチェーンリスクになり得ることを経営層に共有する
- 自社が将来モデルを外部提供する予定がある場合、蒸留攻撃への防御をアーキテクチャ設計段階で組み込む
- APIルーターを経由した外部アクセスの透明性を確保する
未来展望とリスク
OpenAIが「一つのラボが防御を固めても、敵対者は最も防御の弱いプロバイダーに流れるだけだ」と述べているのは、この問題の本質を突いている。蒸留攻撃は、個社対応の限界を超えた産業構造上の脆弱性だ。
個人的には、技術的な防御策よりも政策面の動きのほうが影響が大きいと見ている。OpenAIが米議会にAPIルーターの抜け穴の封鎖や敵対者のクラウドインフラアクセス制限を求めていることからも分かるように、最終的にはAI技術の輸出管理・アクセス管理という国家レベルの枠組みに行き着く可能性が高い。
ただし、こうした規制強化はオープンなAI研究コミュニティとの緊張を生む。OpenAIが「米国主導の民主的AI」を守るという名目で政策介入を求めている点は、商業的動機と混在している可能性にも注意が必要だ。蒸留攻撃を理由にAIモデルへのアクセスが過度に制限されれば、正当な研究やイノベーションが阻害されるリスクも無視できない。
日本においても、国内企業がLLMを社内の機密データで訓練し外部サービスとして提供するケースが増えつつある。その際、蒸留攻撃への備えは技術的な対策だけでなく、利用規約の整備、ログ監視体制、そして業界横断の情報共有の枠組みが不可欠になる。ここは日本の産業構造における「横の連携の弱さ」が弱点として顕在化しやすい領域だ。
まとめ
GoogleとOpenAIが同時期に蒸留攻撃の脅威を公にしたこと自体が、問題の深刻さを物語っている。10万件超のプロンプトによるGeminiへの攻撃キャンペーン、DeepSeek従業員によるアクセス制限回避の試みなど、具体的な手口が明らかになった意義は大きい。
一方で、公開モデルの構造上、蒸留を完全に防ぐことは現時点で極めて困難だ。技術的な検知・防御、利用規約の執行、法規制の整備、そして業界横断のエコシステムセキュリティ──これらを複合的に組み合わせるしかない。AIモデルの知的財産保護は、今後のAI産業の競争構造を左右する重要な論点であり続ける。
参照リンク・情報源
- The Register:How AI could eat itself: Competitors can probe models to steal their secrets and clone them
- The Register:Google: China’s APT31 used Gemini to plan cyberattacks against US orgs
- The Register:How nice that state-of-the-art LLMs reveal their reasoning … for miscreants to exploit
- The Register:AI browsers face a security flaw as inevitable as death and taxes
- The Register:Researchers find hole in AI guardrails by using strings like =coffee
執筆日時:2026-02-14T12:26:00.000Z
本記事は情報提供を目的としています。最新情報は必ず公式サイトでご確認ください。
AI関連の最新動向を毎日短くまとめてXで配信しています。
記事では書ききれない速報や所感も流しているので、気になる方はフォローしてみてください。
AI関連の最新動向を音声で毎日配信中です。
→ Spotifyでフォローする