Claude Code バックドア解説:影響バージョンと開発者向け安全ガイド

隠蔽フィンガープリント · v2.1.91–2.1.196 · NVDB 7月8日警告 · Alibaba禁止 · バージョン確認ガイド

Claude Codeバックドア警告後のバージョン確認コマンドを表示するターミナル

Claude Codeを使っているなら、今すぐclaude --versionを実行してください。バージョン2.1.91から2.1.196には、システムプロンプト内のステガノグラフィでプロキシ利用者を密かにフィンガープリントする未開示コードが同梱されていました。2026年7月8日、中国の国家脆弱性データベース(NVDB)が重大なバックドアリスクと公式警告を発出しました。Alibabaは7月10日から全社禁止を実施します。本記事では隠蔽トラッキングの仕組み、実際に影響を受けるユーザー、Anthropicの説明、確認・アップグレード・アンインストールの手順を解説します。

要点

要約:影響範囲はv2.1.91(4月2日)~v2.1.196(6月29日)。v2.1.197以降で修正済みです。ANTHROPIC_BASE_URLが非公式プロキシを指す場合にのみ発動し、公式API利用者は影響を受けません。Anthropicは蒸留対策実験と説明し、NVDBはバックドアと分類しました。直ちにアップグレードし、企業は外向き通信を監査してください。

01

自分は影響を受けますか?まずバージョン確認

隠蔽機構は全ユーザーを監視していたわけではありませんANTHROPIC_BASE_URL環境変数が非公式エンドポイント(企業ゲートウェイ、第三者プロキシ、API再販業者)を指す場合にのみ発動しました。

ユーザープロファイルANTHROPIC_BASE_URL発動対応
公式API利用者未設定またはapi.anthropic.comなし2.1.197以降へアップグレード
企業ゲートウェイ利用者カスタムプロキシあり(影響バージョンの場合)アップグレード+通信監査
API再販利用者第三者ドメインあり(147ルールブラックリスト)アップグレード+コンプライアンス確認
バージョン区分番号日付状態
最初の影響版v2.1.912026-04-02脆弱
最後の影響版v2.1.1962026-06-29脆弱
修正版v2.1.197 / 2.1.1982026-07-01/02安全
  1. 01

    プロキシエンドポイントリスク:内部ゲートウェイ経由でClaudeを利用するチームでは、ホスト名が147件のXOR(key=91)難読化ブラックリストと照合されました。Alibaba、Baidu、ByteDance、DeepSeek、Moonshot、Zhipu、MiniMax、既知の再販業者が含まれます。

  2. 02

    約3か月間未開示:2026年4月から6月にかけて約20リリースにわたり、変更履歴への言及ゼロで存続しました。これが信頼侵害の核心です。

  3. 03

    高権限ツール:Claude Codeはファイルシステムの読み書きとシェル実行権限を持ちます。このようなツールでの隠蔽挙動は、通常のテレメトリとは一線を画します。

02

何が起きたか:Reddit暴露からNVDB警告まで

Claude CodeはAnthropicのターミナル型AIコーディングエージェントです。流れは次のとおりです。Anthropicが検出コードを静かに組み込む → 開発者がリバースエンジニアリングで暴露 → Anthropicが謝罪してロールバック → Alibabaが禁止 → 中国NVDBが重大バックドアリスクと分類しました。

  1. 2月

    2026年:Anthropicが蒸留対策技術(分類器、行動フィンガープリント)への投資を公表しました。

  2. 3月

    2026年:Claude Code内部に隠蔽検出コードが同梱され、公開開示はありませんでした。

  3. 4/2

    2026年:v2.1.91がリリースされ、配布物に検出コードが含まれました。

  4. 6/30

    2026年:RedditユーザーLegitMichel777がステガノグラフィを暴露。Therealloが技術分析を公開。Adnane KhanがGitHubでv2.1.193/195/196を検証しました。

  5. 7/1

    2026年:エンジニアThariq ShihiparがXで3月の「不正再販と蒸留対策実験」だったと認め、翌日のロールバックを約束しました。

  6. 7/2

    2026年:v2.1.197がコードを削除しましたが、変更履歴には記載がありませんでした。

  7. 7/3

    2026年:ReutersとTechCrunchが、Alibabaが7月10日からClaude Codeを禁止し社内ツールQoderへ移行すると報じました。

  8. 7/8

    2026年:中国NVDBが公式警告を発出。内蔵監視機構がユーザー同意なく位置情報および身元関連識別子を送信するとし、重大なバックドアリスクと分類しました。

03

Claude Codeのステガノグラフィ・フィンガープリントの仕組み

技術コミュニティがステガノグラフィという語を使う理由がここにあります。別途の報告チャネルはなく、ツールがシステムプロンプト自体を改ざんしていました。セキュリティ研究者Adnane Khanは「システムプロンプトに埋め込まれた隠れ情報チャネル」と定義しました。

  1. 01

    トリガー:ANTHROPIC_BASE_URLが非公式エンドポイントを指す場合に発動します。

  2. 02

    環境偵察:タイムゾーンがAsia/ShanghaiまたはAsia/Urumqiかを確認し、プロキシホスト名を147件のXOR(key=91)+Base64難読化ブラックリストと照合します。

  3. 03

    隠蔽エンコード:中国タイムゾーン検出時は日付区切りが2026-06-30から2026/06/30に変わります。Today's date isのアポストロフィが視覚的に同一のUnicode(U+0027、U+2019、U+02BC、U+02B9)間で切り替わり、3つのブールフラグをエンコードします。通常の英文に見える1文に約3ビットの環境データが隠されていました。

検出条件日付形式アポストロフィUnicode
デフォルト2026-06-30標準ASCIIU+0027
中国系ドメイン一致2026-06-30右シングルクォートU+2019
AIラボキーワード一致2026-06-30修飾文字アポストロフィU+02BC
両方一致2026-06-30修飾文字プライムU+02B9
中国タイムゾーン検出時2026/06/30(上記と同様)Asia/Shanghai · Asia/Urumqi
bash
claude --version
echo $ANTHROPIC_BASE_URL
npm install -g @anthropic-ai/claude-code@latest
claude update

争点はデータ収集そのものではなく、開示なく、ステガノグラフィで、特定地域と商業ライバルを標的にしたことです。

04

Anthropicの説明と規制当局・メディアの報道

Claude CodeチームのThariq Shihipar氏(X):「これは3月に開始した実験で、不正再販業者によるアカウント悪用防止と蒸留対策を目的としていました。チームはそれ以来より強力な緩和策を実装しており、削除を検討していました……明日のリリースで完全にロールバックされる予定です。」

情報源フレーミング角度
NVDB / 中国規制当局セキュリティバックドアリスク / 重大脅威コンプライアンスとデータ流出
CNBC / Reuters内蔵監視機構中立的規制報道と企業への波及
The Register隠蔽コード / 秘密のステガノグラフィ技術的説明責任
Ars Technicaスパイウェア的トラッキング信頼危機
Cybernews「大したことない」(一部開発者)過剰反応;標準的蒸留対策エンジニアリング
Anthropic未開示の実験正当な不正利用防止目的
注意

重要なニュアンス:公開報道では、ユーザーデータ侵害や直接的な金銭被害は確認されていません。文書化されたリスクは未開示の監視挙動とコンプライアンス暴露、およびフラグ付けされたプロキシ利用者のアカウント停止リスクです。

05

Alibaba禁止、蒸留戦争、今すぐ取るべき対策

企業への波及:AlibabaがClaude Codeを禁止

SCMPとArs Technicaによると、Alibaba社内通知には「Claude Codeにバックドアリスクが発見されたため……セキュリティ脆弱性を持つ高リスクソフトウェアリストに追加」と記載されていました。2026年7月10日からClaude CodeおよびAnthropicモデル製品(Sonnet、Opus、Fable)を全面禁止し、社員を社内プラットフォームQoderへ移行させます。

背景:Anthropic対Alibabaの蒸留紛争

Anthropicは以前、米国上院銀行委員会に対し、AlibabaのQwenチームが約25,000の不正アカウントで2,880万回のインタラクションを生成しClaude能力を蒸留したと証言しました。2026年2月の北京大学・中国科学院の論文は、主要中国モデルに蒸留痕跡があると報告しました。Claude Opus 4.8はテストで自らをQwen/DeepSeekと誤認する事例もあり、Anthropicの中国ユーザー向けフィンガープリントは特に配慮に欠ける文脈を持ちます。これがAnthropicが隠蔽検出を構築した広範な背景です。

6ステップ対応チェックリスト

  1. 01

    バージョン確認:claude --versionを実行し、2.1.91–2.1.196なら直ちに対応します。

  2. 02

    プロキシ確認:echo $ANTHROPIC_BASE_URLで非公式エンドポイント設定の有無を確認します。

  3. 03

    アップグレード:npm install -g @anthropic-ai/claude-code@latestまたはclaude updateを実行します。

  4. 04

    完全アンインストール(任意):macOS/Linuxでは~/.claude~/.claude.json~/.cache/claude-code~/.config/claude-codeを削除します。

  5. 05

    企業外向き通信監査:開発マシンから不正AIサービスエンドポイントをスキャンし、NVDBガイダンスに沿って外向き通信制御を実装します。

  6. 06

    代替案の評価:コンプライアンス要件に応じてQoder、Cursor、Codex CLI、またはセルフホストエージェントを検討します。

  • 147件の難読化ルール:プロキシブラックリストはバイナリの完全リバースエンジニアリングで初めて抽出可能で、stringsでは発見できませんでした。
  • 約3か月未開示:影響を受けた全リリースの変更履歴にエントリがありませんでした。
  • 25,000不正アカウント:Anthropicが述べたQwen蒸留不正利用の規模であり、「実験」擁護の重要な文脈です。

個人ノートPC上でClaude Codeと本番APIキーを混在させると、権限境界が曖昧になり、外向き通信の監査可能性も低くなります。本番レベルのiOS CI/CDとAIエージェント自動化には、VpsMesh Mac Mini クラウドレンタルが隔離された専用macOSノード、rootレベル制御、24時間稼働を提供し、個人デスクトップの混在利用より安定した選択肢となります。

結論:Anthropicはv2.1.197以降でコードを削除しました。信頼が回復するかは読者次第です。技術コミュニティの一部は標準的蒸留対策エンジニアリングとして過剰反応と見なし、規制当局と企業は未開示バックドアリスクとして深刻視しています。いずれにせよアップグレードは必須です。継続利用はコンプライアンス方針で判断してください。

免責事項:本記事は公開されているNVDB報告、Anthropic声明、独立セキュリティ研究に基づく情報提供です。法的助言やセキュリティ監査の代替ではありません。

FAQ

Claude Code バックドア FAQ

v2.1.91–2.1.196では未開示のステガノグラフィ・フィンガープリントが同梱されていました。NVDBはバックドアリスクと分類し、Anthropicは蒸留対策実験と説明してv2.1.197で削除しました。

v2.1.91(2026年4月2日)からv2.1.196(2026年6月29日)までです。v2.1.197以降へアップグレードしてください。

いいえ。隠蔽フィンガープリントはANTHROPIC_BASE_URLが非公式プロキシやゲートウェイを指す場合にのみ発動しました。

ターミナルでclaude --versionを実行するか、npm経由の場合はnpm list -g @anthropic-ai/claude-codeを実行します。

影響バージョンなら直ちにアップグレードしてください。コンプライアンス要件のある企業は追加でアンインストールと外向き通信監査を検討します。隔離開発環境についてはMac Mini M4 レンタル料金をご覧ください。

システムプロンプトの日付区切りを改変し、視覚的に同一のUnicodeアポストロフィを切り替えてタイムゾーンとプロキシドメイン一致信号をエンコードしていました。

バックドア報道を受け高リスクソフトウェアと分類し、2026年7月10日から社内ツールQoderへの移行を指示しました。

いいえ。影響を受けた全バージョンの変更履歴に機構への言及がありませんでした。これが論争の中心の一つです。

Anthropicはv2.1.197以降でコードを削除しました。継続利用は組織のリスク許容度とコンプライアンス方針次第です。

蒸留は他モデルの出力でモデルを訓練する手法です。Anthropicは不正再販業者と蒸留パイプラインを標的としたと説明し、中国系AIラボとの広範な対立が背景にあります。隔離開発環境の詳細はヘルプセンターをご参照ください。