Claude 中継ステーション事業:規制が厳しくなればなるほど、グレーゾーン産業がより完全に構築される
TechFlow厳選深潮セレクト
Claude 中継ステーション事業:規制が厳しくなればなるほど、グレーゾーン産業がより完全に構築される
真のリスクは地政学的要因にはなく、このサプライチェーンが一般の人々——多くはもともと脆弱な立場にある人々——を犯罪市場に巻き込む仕組みにあります。
Web3業界の深掘り報道に専念し潮流を洞察著者:Zilan Qian
編集・翻訳:TechFlow
TechFlow解説:ホワイトハウスは、中国の研究室が「数万もの代理アカウント」を用いて米国のAIモデルを盗み取っていると主張しているが、その認識は事実を誤って読み取っている——これはごく少数の研究室による精密な作戦ではなく、GitHub、淘宝(タオバオ)、Twitter、Telegram上で公然と営業されているグレーゾーン市場である。中国国内で先進的なAIツールを利用したいと考える人々——大学教授からプログラマー、愛好家に至るまで——は、公式価格のわずか10%という低価格でAPI中継サービス(いわゆる「リレー局」)を活用している。これは、米国におけるAIセキュリティ枠組みの盲点を浮き彫りにする:すべての層のアクセス制限は、それに対応する回避インフラを生み出す一方で、真のリスクは地政学的緊張ではなく、このサプライチェーンがいかにして一般市民——多くはもともと社会的に脆弱な立場にある人々——を犯罪市場へと巻き込んでいるかという点にある。
2026年4月23日、ホワイトハウスは備忘録を発表し、中国の実体が米国の最先端AIモデルに対して「産業規模」の蒸留攻撃を仕掛けていると警告した。この攻撃では「数万もの代理アカウント」を用いて検出を回避しているという。また、2026年2月にはAnthropic社も、中国の研究室が「単一の代理ネットワークを用いて2万を超える不正アカウントを管理」し、協調的な蒸留攻撃を行っていると報告した。両文書とも、「代理」——すなわちモデル利用者とプロバイダーの間の仲介者——を、中国の極少数の最先端研究室が意図的に設計・運用し、米国AIモデルを体系的に抽出する手段と見なしている。
中国の研究室が蒸留技術を用いて「追いつこう」としているかどうかは別として、これら二つの文書は、彼らが記述する「代理経済」の実態を根本的に誤解している。ごく少数の研究室の背後には、はるかに大規模な市場が存在し、それはGitHub、淘宝、Twitter、Telegram上で長年にわたり公然と営業されてきた。これは、API中継(通称「リレー局」)を中心とするグレーゾーン経済であり、中国の開発者がAnthropicのモデルに公式価格のたった10%でアクセスすることを可能にしている。参加者は、ごく少数の経験豊富なAI研究者にとどまらず、最先端モデルを構築して「追いつこう」とするという動機にもはるかに広範なものが存在する。最先端のAIモデルやツールを活用したいと考えるあらゆる人々——大学の教授・学生、IT関係者、個人開発者、愛好家——が、API中継サービスを日常的に利用している。彼らが生成するログは、すでに一種の商品化されつつあり、モデル訓練から標的型詐欺に至るまで、さまざまな目的で取引されている可能性がある。
一方で、米国の最先端AI企業が導入するすべての新たな制御措置(地理的ブロッキング、SMS認証、クレジットカード要件、そして現在ではリアルタイムの生体認証によるKYCチェック)は、それぞれに対応する回避インフラを必然的に生み出している。こうした新規のSMSファームおよび生体情報収集事業の影響は、地政学的領域を越えて、最先端AIセキュリティ枠組みの設計そのものに及んでいる。
筆者が2025年に『ChinaTalk』で発表した「中国における禁止された米国モデルへのアクセス」に関する記事を基盤として、本稿は特に「リレー局経済」に焦点を当て、その構造・収益化メカニズム、そしてアクセス制限およびアカウント監視というAIガバナンス手段の限界を明らかにする。ただし、2025年のグレーゾーン市場とは異なり、2026年の物語は、中国ユーザーと米国AIモデルプロバイダーの境界線で終わらない。リレー局経済は、米中競争を越えた危害——悪意ある行為者の濫用からプロバイダーのトレーサビリティの喪失に至るまで——を防ぐことを目指すAIセキュリティ枠組みの盲点を露呈すると同時に、サプライチェーンにおいて一般市民——多くの場合、もともと社会的に脆弱な立場にある人々——を搾取する犯罪市場を助長している。
リレー局の動作原理を説明するために、最も厳しい地理的ブロッキング機構を有し、中国の開発者に極めて人気のあるAnthropic社を例に挙げよう。
図:中国のインターネット上では、「あなたはClaudeより賢いと思いますか?」というミームが広まっている。
地理的ブロッキングと本人確認(KYC)
Anthropic社が対応する国々を示すマップには、中国は明確に欠落しており、中国のインターネット上でも、技術的にはAnthropicの存在は確認できない。実際には、Anthropicのブロッキングも中国のファイアウォール(いわゆる「グレートファイアウォール」)も、中国ユーザーがClaudeおよびClaude Codeにアクセスすることを阻止できていない。2025年以降、プラットフォームおよび政府による検閲が存在するにもかかわらず、Claudeモデルは淘宝などのECアプリ上で盛んに取引されており、人口がニューヨーク市よりも少ないシンガポールが、2026年4月にはAnthropic Claudeの世界で一人当たりの使用量トップを記録したという「驚くべき」事実が報じられた。
図:中国の開発者が、シンガポールがClaudeトークン消費量世界一というニュースを受けてTwitter上で冗談を交わしている。「私たち、ときどき自分たちがシンガポール人だと思ってるよ。」「毎日、自分の国籍を割り当ててる。」「みんなシンガポールのノードを使ってるから?」「確かに、多くの企業がシンガポールのノードを使っているみたいだ。」
中国政府は現時点では、中国の開発者が米国の最先端モデルにアクセスすることを特に積極的に制限していない。一方で、Anthropic社はこれを真剣に受け止め、中国本土のユーザーをブロックするための多層的な仕組みを採用している。最も基本的なレベルでは、アカウント登録に海外の携帯電話番号、海外のクレジットカード、および一致する請求先住所が必要となる。2025年9月5日には、Anthropic社はさらに、中国など非対応地域に本社を置く企業が直接または間接的に50%以上の株式を保有するあらゆる法人のアクセスを禁止した。これにより、これまで中国系の海外企業が子会社を通じてAPIアクセス権を維持できた抜け穴が塞がれた。
最新の措置は2026年4月に導入された。Anthropic社は、特定のユーザーに対し、政府発行の写真付き身分証明書およびリアルタイムの自撮りによる本人確認を義務付け始めた。これにより、Claudeは、このような高水準の本人確認を導入した主要な消費者向けAIプラットフォームとしては初の事例となった。導入は選択的に行われ、特定のユースケースやプラットフォームの整合性を示す指標によってトリガーされる。VPNやその他の仲介サービスを用いてClaudeにアクセスする中国ユーザーにとって、新しいKYCポリシーは理論上、Claudeへのアクセスをさらに困難にするはずである——中国ユーザーが携帯電話番号や住所を偽造することは可能でも、実在の政府発行書類と一致するリアルタイムの自撮りを偽造するのは理論上極めて困難だからである。
しかし実際には、中国人はClaudeおよび関連ツールにアクセスできるだけでなく、多くの場合、公式価格の10%という破格の価格でトークンを購入している。その「魔法」は「リレー局」にある。
「リレー局」とは何か?
リレー局とは、中国の開発者エコシステムがAPIプロキシ(中継)を呼ぶ呼び名である——すなわち、開発者とAnthropicのインフラストラクチャの間に位置する海外サーバーのことである。このサーバーはAPIリクエストを受け取り、自身の所在地を装って転送し、その後レスポンスを返す。ユーザーはソフトウェアをAnthropicのサーバーではなく、このプロキシのサーバーにリダイレクトし、微信(ウィーチャット)または支付宝(アリペイ)で人民元で支払う。これにより、直接アクセスに必要なVPNおよび海外クレジットカードを回避できる。有名なリレー局はコミュニティのリポジトリに登録され、リアルタイムの価格および稼働時間に基づいてランキングされている。その下には、より小規模で個人運営のプロジェクトが多数存在し、次々と登場・消滅している。
機能的には、OpenRouterなどの合法的な西洋のAPIアグリゲーターと似ているように聞こえるかもしれないが、リレー局はまったく異なる法的・信頼性の宇宙で動作している。合法的なアグリゲーターは、透明な企業契約に基づき標準料金を徴収し、開発者のワークフローを簡素化することを目的としている。一方、リレー局は明確に回避を目的として構築されており、責任を負わない仲介者を介してデータをルーティングしている。
VPNサービスの提供や淘宝でのClaude販売と同様に、リレー局は中国国内では技術的に許可されていない。中国のAIサービス登録に関する規定によれば、届出および安全評価を経ずに提供されるAIサービスは違法である。しかし、一部の中小企業がAI登録をスキップしても罰せられないのと同じように、大多数のリレー局も同様である。ただし、事業規模が大きくなればなるほど、その運営は危険度が高くなる。
リレー局のサプライチェーン
リレー局は単一の実体ではない。それは階層化されたサプライチェーンの中央に位置し、ほとんどの関係者は互いに直接やりとりしない。
上流にはリソース提供者がいる:Anthropicアカウントを大量に登録または取得する「アカウント商人」;登録時の検証に必要な海外携帯電話番号を提供するSMS検証プラットフォーム;さらに技術的な側面では、Anthropicクライアントコードを逆解析し、認証のショートカットを探したり、検出ロジックの変更を検知したりするリバースエンジニア。また、キャリアカードおよび代理ネットワークの支払いインフラも、中国国内から海外課金を行うことを可能にしている。
上流には、より複雑なKYCメカニズム——AIによるものでも人間によるものでも——への対応も含まれる。AIサービスは、主要プラットフォームの本人確認を回避可能な、極めてリアルな偽造身分証明書を生成する能力を既に示しており、ディープフェイクツールは、リモート生体認証を成功裏に通過できるデジタルクローンを作成することを可能にしている。防御者がAIによる人間の偽装を検出できたとしても、より労働集約的な方法として、代理人がアフリカやラテンアメリカの低所得国へ赴き、現場での本人確認を実施する意思のある個人を募集することも可能である。Worldcoinのブラックマーケットは、カンボジアおよびケニアのKYC業者から収集された虹彩スキャンが30ドル未満で売買されているという、記録された先例を提供している。
図:TwitterアカウントがKYC本人確認サービスを宣伝している。
中流はリレー局そのものである:ユーザーからのリクエストを受け取り、それを正当なアカウントからのものであるかのようにAnthropicに転送するソフトウェアインターフェース;支払い統合(通常は支付宝または微信);およびその稼働を維持する地味だが不可欠な運用層——アカウントが検出される前に循環させること、プール内の負荷をバランスさせること、そしてAnthropicの濫用検出アップデートに絶えず適応すること——である。
下流には顧客がいる:CodexまたはClaude Codeを利用する個人開発者、内部ワークフローをリレー局経由でルーティングする企業、自社製品にAPIを埋め込むアプリケーション構築者、そして昨年筆者が記録した通り、アクセス権を卸売りで購入し、淘宝で個人顧客向けに再パッケージングする二次販売業者である。
この全工程を単独で運営している者はほとんどいない。大多数の関係者は、そのうち1〜2つの工程を担い、それを巧みに収益化することで、弾力性に富んだモジュラー型システムを形成している。AIモデルプロバイダーが個別の事業者を一時停止しても、上流のアカウントプールおよび下流の顧客層はそのまま残る。Claudeへのアクセスを求める開発者と、身分証明書を提供するブラックマーケット——これら二つはどちらも持続的な特徴である——が存在する限り、代替事業者はすぐに立ち上がるだろう。
図:開発者のWeChatグループ内で流布したスクリーンショット。AnthropicのKYCプロセスを回避するサプライチェーンについてのジョークが描かれている;元画像は中国語(上部)、下部は著者による翻訳。
一魚三吃:なぜトークンがこんなに安くなるのか
しかし、最も奇妙なのは、中国でClaudeやClaude Codeにアクセスできるということではなく、それが実に馬鹿げた低価格——通常は1ドル分のトークンを1元(人民元)で購入可能——で実現されることである。これは公式価格の70〜90%引きに相当する。公開された議論によると、リレー局は少なくとも3つの方法でこれを実現している——しばしば「一魚三吃」と呼ばれる。
第一吃:アクセスのマーケットプレイス価格。これは、上流のリソース提供者が少なくとも5種類の比較的「無害」な戦略を重ね合わせて代理アカウントを構築できることによって可能になっている:
Anthropicの5ドル無料クレジットを獲得するためにAPIアカウントを大量登録
他人のアカウントで未使用のクォータを転売
「APImaxxing」——200ドルのMaxプランは、固定サブスクリプション価格と、同等額のトークン単価課金方式に比べてはるかにコスト効率が高く、その差を利用して、1時間あたりのトークンクォータを複数ユーザー間で分割する
さらに、もう一つの暗黒の上流供給源として:不正または盗難クレジットカードで購入されたアカウントがあり、事業者にとっては実質ゼロコストで代理プールに投入できる。上述の4つの「無害」戦略と比較して、この部分が全体に占める割合は検証が難しいが、これら二つの市場は一部のインフラや人員を共有している可能性がある。
第二吃:モデルのすり替えとトークンの虚偽申告。ユーザーの入力およびモデル出力がプロキシを介してルーティングされるため、ユーザーは自分のリクエストが実際にどのモデルにルーティングされたかを検証できない。ユーザーがOpus 4.7を選択しても、プロキシは密かにSonnetやHaiku、最悪の場合GLMやQwenにルーティングし、出力を不正に再ラベル付けすることができる。ドイツのCISPAヘルムホルツ情報セキュリティセンターが最近発表した論文(筆者が昨年発表したグレーゾーン市場に関する記事を引用)では、17のAPIプロキシを監査し、広範なモデルすり替えを発見した——APIプロキシ経由でアクセスした「Gemini-2.5」は医療ベンチマークで37.00%のスコアしか得られず、公式APIの83.82%という性能と大きく乖離していた。ユーザー側では、複雑なタスクにおいて出力が「おかしい」(俗に言う「バカ化」)と感じられた場合にのみ、問題が表面化するが、それを簡潔に証明する方法はない。多くの公開記録が、特定のAPIプロキシがモデル性能を著しく損なっていることに懸念を示している。これらのプロキシは、高度な最先端モデルを劣化した下位モデルにすり替えることでサービスを「希釈」していると疑われている。
モデルのすり替えに加え、トークンの過剰消費も各トークンの単価を下げているが、その代償として総コストが上昇する。その一部は構造的なものであり、頻繁にアカウントをローテーションさせるプロキシは、キャッシュの連続性を副次的に破壊し、本来ほぼ無料で済むコンテキスト上で全額課金のトークンを消費させてしまう。また一部は意図的なものであり、プロキシ提供者がより多くの利用量を搾取しようとしている可能性がある。外部からは、この二つの境界を明確に引くことは極めて困難である。
第三吃:ログそのものが商品。これは、データプライバシーおよび蒸留と交差する点で、おそらく最も重要な要素である。プロキシを経由するすべてのリクエスト——完全なプロンプト、完全なレスポンス、ツール呼び出し、反復処理——はすべてプロキシ事業者のサーバー上に保存される。AIコーディングプロキシの場合、これらのログには長い推論チェーン、実際のエンジニアリング判断、リポジトリのコンテキスト、および人間による検証済みの正しい出力が含まれる。これは、ポストトレーニングの理想的なデータセットとなり得る:実際のエンジニアリングタスクに対する教師あり微調整、および完全な推論軌跡を捉えた状態でのClaudeの推論パターンをより小さなモデルへと蒸留するためのデータとしてである。中国の開発者コミュニティでは、これが少なくとも一部のケースで実際に起こっていると主張されているが、プロキシ事業者がこれらのログを体系的に収集・販売しているかどうか、また誰に販売しているかについては、まだ確認されていない。ただし、下流の蒸留データはオープンネットワーク上に実在する。HuggingFace上には、出所不明のClaude Opus 4.6の推論出力のデータセットがいくつか流布している。理論的には、同様の蒸留データセットを洗浄し、中国の他のモデル開発者に販売することも可能である。
最初の二つの「食事」はAnthropicの公式価格より安いトークンを提供するが、価格を原価の10%、さらには5%という信じがたい水準まで引き下げるには、第三の「食事」が必要となる。中国の諺にもある通り、「天下に無料の昼食はない」。何人かの中国の開発者は、マーケットプレイス価格は単なる顧客獲得の手段に過ぎず、ログの収穫こそが真の利益源であると明かしている。ユーザーは支払いをする顧客であると同時に、無償のデータ生産者でもあり、自分のプライバシー情報をプロキシ事業者に提供することで、安価なアクセスを得ているのだ。また、プロキシによって漏洩したユーザー情報が、営業活動や詐欺、さらには恐喝に利用される可能性があるとの警告もある。プライバシーのリスクを避けるため、一部の中国の開発者は自らClaude Code APIプロキシを構築し、その運用マニュアルをオープンソース化している。
実名認証では分からないこと
AIの利用は、チャットボットからツール利用へと徐々に移行しつつある。エージェントおよびトークン経済の台頭に伴い、米国モデルの利用に関する問題は、単なる「アクセス」から「費用対効果」へと拡大している。これは、中国のAIエコシステム——最先端の研究室から大学の研究グループ、独立開発者、愛好家に至るまで——が一般的に資金不足であるという事実に起因する。一方で、ユーザーがリレー局を経由して生成するデータは、明確に下流市場へと流れ込み、モデル訓練、データ取引、あるいは詐欺に利用されている。もし蒸留もこの経済システムの一部であるならば、問題は米国政府やAI企業が予想するごく少数の最先端参加者を越えたところにある。
歴史は、アクセス制限が決意したユーザーを阻止することは稀であることを教えてくれる。制限はアクセスコストを押し上げ、結果として、そのコストを下げられる者に有利な市場を創出する。グレートファイアウォールは、中国におけるVPNサービスを繁栄する家庭内手工業へと変えた。KYC要件は、国内の身分証明書の転売業者から、東南アジアやアフリカにおける生体情報収集事業へと、偽造身分の経済を生み出した。最先端AI企業の多層的制御——地理的ブロッキング、携帯電話認証、クレジットカード要件、そして現在のリアルタイム生体認証チェック——も、同様の効果を生んでいる。
しかし、この物語は「Anthropic/米国 vs 中国」という枠組みを越えている。これは、地政学的境界を越えた、より広範な範囲におけるアクセス制御に関する不安を呼び起こす真実を指し示している。地理的ブロッキングを受けた開発者が制御を回避する方法は、構造的に、テロリストが最先端AIモデルにアクセスして破壊的な生物兵器を製造し、追跡されずに行動する方法と同じである。アクセスの問題は、独自の地政学的配慮であると同時に、共通のセキュリティ懸念でもある。
今日、AIセキュリティ研究は、システムレベルのアクセス制御——特に、公開されているクローズドソース重みモデルに対する検出・監視・アカウント封鎖——を、重要な保障措置とみなしている。監視に関しては、開発者が推論インフラストラクチャを制御し、有害な入力・出力をリアルタイムでマーキングすることが前提である。検出(例えばKYC要件)は、プロバイダーがその行動を識別可能な当事者に帰属させられることを前提としている。同様に、アカウント封鎖も、アカウントを封鎖すればアクセスを効果的に拒否できるという前提に立っている。しかし、米国のモデルプロバイダーは、リレー局を経由してルーティングされる中国ユーザーの推論を制御できない——制御できるのはリレー局の事業者だけである。有害なリクエストが到達した際、AIモデルプロバイダーが見るものは実際のユーザーのIPアドレスではなく、リレー局のIPアドレスである。アカウントが封鎖されたとしても、上流のサプライチェーンは数時間以内に簡単に新しいリレー局を構築できる。
より複雑な監視ツールについては、問題はさらに深刻である。AnthropicのClioシステムは、単一の会話レベルでは見えない協調的濫用を検出するために部分的に設計されており、アカウントや会話を横断するパターンを識別することで機能する。例えば、類似したプロンプト構造を用いて検索エンジンスパムを自動生成するアカウントネットワークを特定し、その後それらを封鎖する。しかし、リクエストがプロキシを経由するため、封鎖は根底にある行動を効果的に阻止できない。意図的に企画された攻撃——例えば、有害なクエリを複数の段階および複数の代理アカウントに分散させ、各リクエスト単体では無害に見えるようにする攻撃——においては、アカウント横断のパターンは、信号が天然に顕著な協調的スパムよりもはるかに不明瞭である。
最後に、リレー局は、米国AI企業と中国ユーザーの間、あるいはAI保証措置と悪意ある行為者の間における、従来の攻防の枠組みを体現するものではない。ブラックマーケットには独自のサプライチェーンおよび搾取の論理があり、それが生み出す危害は、当初のアクセス問題をはるかに超える。今日、Anthropicシステムを回避するためにリレー局のKYC認証に収穫された顔情報は、明日には、詐欺的な金融口座開設、偽造雇用記録、あるいはディープフェイク生成のために転売され、グローバルサウスの本来の被写体が法的・評判上の損害を被ることになる。Claudeのリクエストをルーティングするインフラは、モデルのすり替え、漏洩したプロンプトデータに基づく標的型詐欺や恐喝にも利用可能である。リレー局のアカウントプールを維持するための「養号」作業——大量SMS認証、不正登録、不正クレジットカード利用——は、より広範な迷惑電話、フィッシングSMS、詐欺的ローン申請、クレジットカード詐欺の犯罪市場を肥やす。こうした危害の多くは、AIや地政学とは無関係である。
しかし今や、グレーゾーン市場のあらゆる副産物——テロリストがAIを用いて次の大流行病を合成する潜在的危険から、現実に起きている搾取や犯罪に至るまで——が既に存在している。グレートファイアウォールやAIの地理的ブロッキングが、誰が最先端技術にアクセスできるかを国家の境界線で区切ろうとしても、グレーゾーン市場が明らかにするように、危害は分割できない。
謝辞:
Zilanは、Alan Chan、Gabriel Wagner、Karuna Nandkumar、Kayla Blomquist各位から有益なフィードバックを賜り、心より感謝いたします。
著者は、初期の文献調査、技術的概念の明確化、および原稿の編集にLLMを活用したことを認め、また、現在も中国本土でVPNを用いてシンガポールのノード経由でClaudeにアクセスでき、KYCプロセスがトリガーされないことに、心から感謝しています。
資料は非公式な交流に基づく。
アプリケーションプログラミングインターフェース(API)とは、開発者がソフトウェアをAIモデルに直接接続するための手段であり、ブラウザを通じたインタラクションではなく、プログラムでAnthropicサーバーにリクエストを送信し、レスポンスを受信することを意味する。
具体的には、環境変数ANTHROPIC_BASE_URLをプロキシのアドレスに置き換えることである。
資料は非公式な交流および文献調査に基づく。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
