MIIT NVDB Claude Code バックドア警告と開発者端末セキュリティ監査のイメージ

2026 工信部(MIIT)Claude Code バックドア警告:隠し文字・影響バージョン・開発者向け安全対処ガイド

2026 年 7 月 8 日、中国工業和信息化部(MIIT)のサイバーセキュリティ脅威・脆弱性情報共有プラットフォーム(NVDB)は、Anthropic の AI プログラミングツール Claude Codev2.1.91 から v2.1.196重大なセキュリティバックドアリスクがあると警告しました。内蔵監視機構がユーザー同意なく地域・身元識別子等をリモートサーバーへ送信しうるとされています。Claude Code をお使いの方は、本文を読む前に claude --versionecho $ANTHROPIC_BASE_URL を実行してください。本稿は逆アセンブル報告と規制公告に基づき、タイムライン、NVDB 要点、隠し文字技術、Alibaba 禁止、反蒸留背景、5手順 HowTo、決定マトリクス、FAQ を整理します。

要点(TL;DR)

  • 規制定性:NVDB(7月8日)が v2.1.91–2.1.196 を重大バックドアリスクと警告。
  • トリガー条件ANTHROPIC_BASE_URL が非公式エンドポイントを指す場合のみ発動。api.anthropic.com 直結ユーザーは対象外。
  • 技術:TZ 偵察 + 147 件 XOR91+Base64 ブラックリスト + system prompt 隠し文字。通常 telemetry とは別物。
  • 動き:Anthropic は 7月2日 v2.1.197 で削除。Alibaba は 7月10日から全社禁止、Qoder へ。
  • 今すぐ:バージョン確認 → BASE_URL 確認 → 2.1.197+ へ更新または削除 → egress 監査。

1. 開発者が今監査すべき3つの論点

  1. 規制は動いたが、見出しだけ読むと誤解が広がる:NVDB の「バックドア」表現は注目を集めますが、逆アセンブル報告は一致しており、機構は非公式 ANTHROPIC_BASE_URL 設定時のみ発動します。この条件を書かないと、技術読者から反論を受け、全社一斉禁止など過剰対応を招く恐れがあります。
  2. 高権限 CLI に隠蔽チャネル、3か月間 changelog ゼロ:Claude Code はファイル読み書きと Shell 実行権限を持ちます。v2.1.91–2.1.196 の約20リリースで検出ロジックが一度も開示されませんでした。system prompt 隠し文字は Datadog/OpenTelemetry より発見・停止が困難です。
  3. 企業連鎖が始まった:Alibaba は 7月10日から Claude Code と Anthropic 全モデルを禁止。プロキシ・ゲートウェイ・API 転売経由の開発者はアカウント停止とコンプライアンス審査の両方リスクがあります。

2. タイムライン:反蒸留から MIIT 定性まで

時期出来事
2026年2月Anthropic が反モデル蒸留技術への投資を公表(分類器、行動指紋、情報共有等)
2026年3月Claude Code 内部で隠蔽検出機構が静かに投入、公開説明なし
2026-04-02v2.1.91 リリース、検出コードが配布開始
2026-04〜06約20バージョンでロジック継続、changelog 未記載
2026-06-29v2.1.196、影響範囲最終版
2026-06-30Reddit LegitMichel777 暴露、Thereallo 技術分析、Adnane Khan GitHub 逆アセンブル(v2.1.193/195/196 確認)
2026-07-01Thariq Shihipar が X で認否、翌日版でロールバック約束
2026-07-02v2.1.197(一部 v2.1.198 報道)で削除、changelog 未明記
2026-07-03/04Reuters/TechCrunch:Alibaba 7月10日から禁止、Qoder
2026-07-08MIIT NVDB 正式警告「重大バックドアリスク」
2026-07-10Alibaba 内部禁止発効

3. NVDB 公告の要点

項目内容
発行機関工業和信息化部 NVDB
日時2026年7月8日
対象製品Anthropic Claude Code
定性重大なセキュリティバックドアリスク
内容内蔵監視機構が同意なく地域・身元識別子等を送信
影響版v2.1.91–v2.1.196(2026-04-02〜06-29)
推奨開発端末の全面調査、アンインストールまたは最新版へ更新、外連権限・トラフィック監視強化
企業動向Alibaba 等が制限・禁止、内部代替へ移行

4. 実際に影響を受けるユーザー(誤解の解消)

最重要事実:全 Claude Code ユーザーに効くわけではありません

環境変数 ANTHROPIC_BASE_URL で API を非公式エンドポイント(企業ゲートウェイ、第三者プロキシ、API 中継・転売)へ向けた場合のみ検出が起動します。常に api.anthropic.com を使い、カスタム Base URL を設定していなければこの隠し文字パスはトリガーされません

「全ユーザー監視」という見出しは技術的に不正確です。規制の「重大リスク」は、未開示の隠蔽チャネルを持つ高権限開発ツールという事実に対するものです。報告されている直接影響はアカウント停止・乱用識別が中心で、大規模データ漏えい事故としては未確認です。

5. 技術機構:3段階分解

LegitMichel777、Thereallo、Adnane Khan、Vincent Schmalbach 等の独立逆アセンブルに基づく整理です。

第1段階:環境偵察

  1. システム TZAsia/Shanghai または Asia/Urumqi
  2. プロキシ hostnameANTHROPIC_BASE_URL を内蔵リスト(147 件)と照合。Alibaba、Baidu、ByteDance、DeepSeek、Moonshot、智譜、MiniMax 等を含む

リストは XOR(91)+Base64 で難読化され、単純な strings では抽出困難です。

第2段階:system prompt への隠し文字

  • 中国 TZ 命中時、日付 2026-06-302026/06/30
  • Today's date is のアポストロフィを U+0027、U+2019、U+02BC、U+02B9 に置換しフラグをエンコード

Adnane Khan は "a covert information channel embedded in system prompts" と定義しています。

第3段階:サーバー側解析

サーバーが信号を解析し、プロキシユーザー・転売業者・蒸留パイプラインを識別、アカウント制限等を実施。動機は反蒸留・反転売と見られますが、未開示・難読化が規制定性と信頼危機の核心です。

6. 通常テレメトリとの境界

  1. 隠し文字を使用(通常 telemetry チャネルではない)
  2. changelog 未開示(約3か月・約20版)
  3. 特定地域・競合他社向け指紋(クラッシュ報告ではない)
  4. 高権限 CLI(ファイル・Shell)上の不可視行為

詳細 Unicode 表はClaude Code 隠し文字事件を参照してください。

7. バージョン表と自己診断コマンド

区分バージョン日付
初回含有v2.1.912026-04-02
最終影響v2.1.1962026-06-29
修正v2.1.197(一部 v2.1.198)2026-07-01/02
推奨2.1.197 以上を安全基準とする
# バージョン確認
claude --version

# プロキシ端点設定の確認
echo $ANTHROPIC_BASE_URL

# npm で最新版へ
npm install -g @anthropic-ai/claude-code@latest

# 内蔵アップデータ
claude update

完全削除時の残留パス(macOS/Linux): ~/.claude~/.claude.json~/.cache/claude-code~/.config/claude-code

8. 各主体の声明とメディア表現

MIIT / NVDB

重大バックドアリスク。開発端末の調査、削除または更新、外連・トラフィック管理強化を推奨。

Anthropic / Thariq Shihipar

「This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation... this should be fully rolled back in tomorrow's release.」

「実験」と位置づけ、転売乱用・蒸留防止が目的。Qwen 不正アカウント約2.5万2880万回インタラクション告発が文脈です。

Alibaba

2026年7月10日から Claude Code および Anthropic モデル(Sonnet、Opus、Fable 等)禁止。代替は Qoder

9. 米中 AI 蒸留競争の背景

Anthropic は中国地域アクセスを制限する一方、VPN・プロキシで迂回される現実があります。2026年2月の北大・中科院論文は中国 LLM の蒸留痕跡を報告。DeepSeek、Moonshot、MiniMax、Alibaba 等への非許可使用指控、Qwen 不正アカウント告発が今回の「中国関連ユーザー識別」と絡みます。Alibaba 内部 Qoder は国内スタック移行の象徴です。

10. 決定マトリクス(4シナリオ)

シナリオリスク推奨アクション備考
個人(公式 API)2.1.91–2.1.196 なら 2.1.197+ へ。非公式 BASE_URL なし確認隠し文字パス未発動
企業 ITNVDB 通り端末調査、AI ツールリスト管理、egress 監査、Qoder 等代替評価Alibaba 先例あり
プロキシ利用即更新または削除、BASE_URL 履歴監査、指紋送信を前提にアカウントリスク評価唯一のトリガー対象
公式 API + 規制産業基線版更新、専用ノード隔離、ツールチェーン承認記録高権限 CLI は SCM 対象

11. 五手順 HowTo(詳細)

以下は開発端末1台あたりの実行手順です。チーム展開時は CI Runner とリモートデスクトップも同様に実施してください。

手順 1:バージョン確認

  1. ターミナルを開き、claude --version を実行します。
  2. 出力が v2.1.91 以上 v2.1.196 以下なら影響範囲です。npm 利用時は npm list -g @anthropic-ai/claude-code で二重確認します。
  3. 結果をスクリーンショットまたはチケットに記録します。

手順 2:ANTHROPIC_BASE_URL の監査

  1. echo $ANTHROPIC_BASE_URL を実行します。空または未設定なら、このセッションでは非公式ルートは使われていません。
  2. ~/.zshrc~/.bashrc~/.profile、IDE の run configuration、.env、CI シークレットを検索し、過去に非 api.anthropic.com を指していなかったか確認します。
  3. 非公式 URL を発見した場合、「隠し文字ロジックが発動した可能性あり」とフラグを立てます。

手順 3:安全版へアップグレード

  1. npm install -g @anthropic-ai/claude-code@latest または claude update を実行します。
  2. 再度 claude --version を実行し、v2.1.197 以上であることを確認します。
  3. 企業環境ではパッケージミラー経由の場合、管理者に承認済みバージョンの配布を依頼します。

手順 4:ポリシーに応じた完全削除

  1. 禁止が必要な場合、npm uninstall -g @anthropic-ai/claude-code 等で CLI を削除します。
  2. ~/.claude~/.claude.json~/.cache/claude-code~/.config/claude-code を削除します(Windows は %USERPROFILE%\.claude 等)。
  3. シェル履歴に API キーやプロキシ URL が残っていないか確認します。

手順 5:外向きトラフィック監査と記録

  1. 開発端末のファイアウォールログ、プロキシログ、EDR で未承認 AI API ドメインへの接続を調査します。
  2. バージョン、BASE_URL 履歴、対応日時、担当者をコンプライアンス台帳に記載します。
  3. NVDB 警告を参照したインシデントチケットを起票し、再発防止ポリシーを更新します。

12. 企業 IT コンプライアンスチェックリスト

  • 全開発機・CI・リモート環境の Claude Code インストールとバージョン棚卸し(2.1.91–2.1.196 重点)
  • ANTHROPIC_BASE_URL.env の一括監査
  • 許可/禁止ソフトリストへの登録(Alibaba 型の高リスク标注)
  • 開発セグメントの egress ポリシー、Anthropic 公式ドメインもプロキシ経由で監査可能に
  • AI ツールと本番 DB 資格情報・kubeconfig の分離
  • 影響版 + 非公式 BASE_URL 検出時のインシデントレスポンス
  • Anthropic へのセキュリティ説明要求、NVDB 追報のウォッチ
  • 開発者向け内部通告(トリガー条件付きで panic を防ぐ)

13. よくある質問 FAQ

Claude Code に本当にバックドアがありますか? NVDB は重大バックドアリスクと定性。技術的には v2.1.91–2.1.196 の隠し文字検出。Anthropic は実験的措置とし v2.1.197 で削除。

影響バージョンは? v2.1.91(2026-04-02)〜 v2.1.196(2026-06-29)。2.1.197+ へ。

公式 API 利用者は? 影響なし。非公式 ANTHROPIC_BASE_URL のみ。

バージョン確認は? claude --version

アンインストール必須? 個人は更新優先。企業は禁止・代替検討。

隠し文字の原理? system prompt の日付区切りと Unicode アポストロフィで指紋エンコード。

Alibaba 禁止理由? 高リスクソフト指定、7/10 から Qoder。

changelog 開示? なし。6/30 逆アセンブルまで。

今は安全? 2.1.197+ でコード削除。継続は組織のリスク許容度次第。

蒸留との関係? 転売・蒸留防止が Anthropic 説明。Qwen 不正アカウントが背景。

14. 参考ソース

15. 免責事項

本記事は MIIT NVDB 公告、Anthropic 公開声明、独立セキュリティ研究に基づく技術・コンプライアンス参考情報であり、法的助言やセキュリティ監査結論ではありません。削除・禁止・トラフィック制御の前に、各組織のセキュリティ方針で評価してください。

16. SFTPMAC リモート Mac ブリッジ

MIIT 定性と Alibaba 禁止は、AI プログラミングツールがサプライチェーンコンプライアンスと端末統制の段階に入ったことを示します。高権限 CLI を日常 PC から切り離し、監査済み専用 Mac ノードで Claude Code または代替を動かし、SFTP/rsync で成果物だけ同期する構成が現実的です。

ローカル Mac では環境変数・プロキシ・ブラウザ資格情報が同一ユーザ空間に共存し、ツール単位の egress 監査が困難です。ANTHROPIC_BASE_URL が非公式だった場合は、隔離環境で更新・削除・ログ保存を行ってください。隠し文字事件JADEPUFFER ガイドと同様、SFTPMAC リモート Mac レンタルで常時オンライン Apple Silicon、SSH/SFTP 分離、launchd、egress 連携が可能です。