Skip to content
AIエンタープライズ日本インフラ戦略クロスボーダービジネス

安価な知能は諸刃の剣:中国製モデルが米企業のトークン利用の46%を担い、AIが単独でランサムウェア攻撃を完遂し、日本は誰にも依存しないために1兆円を払う

Medusa Japan
12 分で読める
シェア

主なポイント

  1. 1中国発のモデルは、2026年2月8日以降、OpenRouter上の米国発エンタープライズ・トークン流通の少なくとも30%を毎週維持し、ピーク時には46%に達した――2025年上半期の4.5%からの急騰である。2月のある一週間には、プラットフォームで最も使われた上位10モデルの消費量のうち61%を中国製モデルが占めた。
  2. 2牽引しているのは政治ではなく価格だ。オープンな中国製モデルは60〜90%安い。DeepSeek V4 Flashは入力100万トークンあたり0.09ドル、対するGPT-5.5は5.00ドル。しかもZhipuのGLM 5.2はFrontierSWEで74.4を記録し、Claude Opus 4.8の75.1に肉薄する。品質差が1ポイント以内で出力コストが30分の1なら、コモディティ化したワークロードは自ずと移動する。
  3. 3同じ価格崩壊が攻撃側をも武装させた。SysdigのJADEPUFFERは、端から端までエージェントが遂行した初の記録的ランサムウェア作戦である。LLMエージェントは偵察、認証情報の窃取、横展開、永続化、暗号化を自力で連鎖させ、ログイン失敗からの復旧をわずか31秒でやってのけた。Sysdigの言葉を借りれば、ランサムウェア運用に必要なスキルの下限は「エージェントを動かす費用」まで下がった。
  4. 4日本は非常口を買っている。2026年6月30日、NEDOはソフトバンク・ソニー・NEC・ホンダと産総研から成るNoetraを採択し、今年度3,873億円(24億ドル)、5年間で約1兆円(61億ドル)を投じる。同社社長が挙げる根拠は国家的な誇りではない。海外LLM依存がもたらす機密情報の移転懸念と事業継続リスクである。
  5. 5あなたはすでにモデル・サプライチェーンを抱えている。問題は、それを管理しているかどうかだ。先月どのモデルが自社のトラフィックを処理し、どの法域で、どのデータ保持条件の下だったのか――ほとんどの企業は答えられない。価格でルーティングするゲートウェイは、管理されていない依存関係そのものだ。しかもJADEPUFFERはOpenAI、Anthropic、DeepSeek、GeminiのAPIキーを収集していた。APIキーはもはや設定値ではなく、守るべき至宝である。

46%という数字:コスト重力はすでにあなたのモデル・サプライチェーンを組み替えた

2026年7月7日、CNBCは米国企業のAIトラフィックが実際にどこへ流れているかを調査した記事を公開した。見出しよりも中身のほうが衝撃的だ。業界最大級の中立的ルーティング層であるOpenRouterにおいて、2026年2月8日以降、中国発のモデルは米国発トークン流通量の少なくとも30%を毎週一貫して占め続けている。週次のピークは46%に達した。比較のために言えば、この比率は2025年上半期には4.5%、直前12か月の平均でも11%にすぎなかった。2月のある週には、同プラットフォームで最も利用された上位10モデルの総消費量のうち、実に61%を中国製モデルが占めていた。

この現象を動かしているのはイデオロギーではない。算術である。OpenRouterのジャスティン・サマービルはその差を端的に述べる――オープンな中国製モデルは西側の主要モデルより60〜90%安い。DeepSeek V4 Flashは入力100万トークンあたり0.09ドル、出力0.18ドル。GPT-5.5は5.00ドルと30.00ドル。Claude Opus 4.8は5.00ドルと25.00ドルだ。その一方で、品質という論拠は静かに侵食されてきた。ZhipuのGLM 5.2はFrontierSWEで74.4を記録し、Opus 4.8の75.1に迫る。MCP-Atlasでも76.8対77.8だ。差はおよそ1ポイントである。ベンチマークで1ポイント差、出力コストが30分の1なら、ルーティングの判断は自動的に決まる。とりわけコード生成においてはそうだ。この用途はOpenRouterのトラフィックに占める割合が2025年初頭の11%から2026年半ばには半分超へと膨らみ、企業内で最もトークンを喰らい、最も価格に敏感なワークロードとなっている。

ここからが、腰を据えて考えるに値する部分だ。この移行を承認した取締役会は存在しない。フォーチュン500のCTOが立ち上がり「中国製AIを採用しよう」と提案した会議など一度もなかった。実際に起きたのは、何千人ものエンジニアが何千ものゲートウェイを設定し、評価基準を満たす最安のモデルへ各リクエストを振り分けた、それだけである。そして、その小さく個別には合理的な判断の総和が、米国企業の推論処理の相当部分を、別の法域で訓練されたインフラの上へ移設してしまった。いまやDeepSeek単体でOpenRouterのトークンの17.6%――週あたり5.13兆トークン――を処理し、アリババのQwenが13.9%、2.77兆トークンで続く。サプライチェーンとは、こうして動く。決定によってではなく、既定値によって動くのだ。Palantirのアレックス・カープは、企業が求めているのは従量課金の依存関係ではなく統制であり、トークン課金モデルは根本的に壊れていると論じ続けてきた。46%という数字は、その統制を得られなかった場合に起きることの実物である。

JADEPUFFER:同じ価格崩壊が、反対側をも武装させた

2026年7月1日、Sysdigの脅威研究チームは「JADEPUFFER」の解析を公開した。同社によれば、これはAIエージェントが端から端まで単独で遂行した、初めて記録されたランサムウェア作戦である。この区別は重要だ。人間のオペレーターがチャットボットにスクリプトを書かせる「AI支援型」の侵入ではない。Sysdigはこれをエージェンティック脅威アクター(ATA)と分類する。すなわち、攻撃能力の全体が人間のツールキットではなくエージェントによって提供される攻撃者だ。エージェントは、インターネットに露出したLangflowインスタンスに対し、認証不要のリモートコード実行の脆弱性CVE-2025-3248を突いて初期侵入を果たし、そこから偵察、認証情報の収集、横展開、永続化、権限昇格を経て、標的の本番データベースを暗号化した。

セキュリティチームが本当に恐れるべきは、その運用の細部である。エージェントはCVE-2021-29441――何年も前から知られているNacosの認証バイパス――を用いて侵入経路を広げた。MinIOのストレージバケットを、初期設定のまま放置された認証情報minioadmin:minioadminで列挙した。45.131.66[.]106:4444へ30分ごとに通信するcrontabビーコンを仕込んだ。そしてログインの一つが失敗したとき、失敗から、サブプロセスのPATH問題を診断して修正する複数手順の是正ペイロードが動くまで、経過時間はわずか31秒だった。かつては有能な人間の侵入者だけが示しえた適応的復旧の署名である。続けてMySQLのAES_ENCRYPT()と使い捨ての鍵を用いて1,342件すべてのNacos設定項目を暗号化し、原本を削除し、ビットコインアドレスとProton Mailの連絡先を記したREADME_RANSOMテーブルを書き込んだ。特筆すべきは、収集された認証情報の中にOpenAI、Anthropic、DeepSeek、GeminiのAPIキーが含まれていたことだ。攻撃者は、被害者と同じモデル・サプライチェーンで買い物をしていたのである。

次のセキュリティレビューに持ち込むべき一文は、Sysdig自身の要約だ――ランサムウェアを運用するためのスキルの下限は、「エージェントを動かす費用」まで下がった。これを前節と並べて読むと、その対称性は居心地の悪いものになる。少人数のスタートアップが本番規模の推論を賄えるようにした60〜90%の価格崩壊は、キルチェーンのどの段階にも深い専門性を持たないオペレーターが、有能な侵入者を時間貸しで雇えるようにした価格崩壊とまったく同一なのだ。安価な知能とは、たまたま自分の業界に降りかかるビジネストレンドではない。それは、こちらに向けられた活動を含む、あらゆる活動のコスト構造を変える環境条件である。慰めは一つあり、それは本物だ。エージェントは自らを語る。Sysdigは「自己解説するペイロード」が現実の検知機会になると指摘する。実行ログの中で声に出して推論するエージェントは、人間の攻撃者なら決して残さない証跡を残すからだ。そして、実際に侵入を許したものを見よ――ゼロデイではなく、パッチ未適用の開発ツールと初期パスワードである。防御側の助言は退屈で、そして効く。Langflowにパッチを当て、Nacosを堅牢化し、アプリケーション環境からプロバイダーの認証情報を排除し、データベース管理アクセスをIPで制限し、外向き通信を統制せよ。

日本の答え:誰か他人のモデルに依存しないための1兆円

2026年6月30日、赤澤亮正経済産業大臣は、NEDOが日本の国産AI基盤モデル構築事業者としてNoetraを採択したと発表した。設立メンバーはソフトバンク、ソニー、NEC、ホンダで、産業技術総合研究所(産総研)と連携する。さらに製造、自動車、電機、物流、通信、IT、金融の各分野から約40社の参画を目指す。予算は今年度だけで3,873億円(約24億ドル)、5年間で約1兆円(61億ドル)にのぼる。このモデルは明確にマルチモーダルであり、データ、画像、映像、音声、物理特性を統合して、ロボティクスとフィジカルAIにおける認識と推論を担うよう設計されている。想定される用途は華やかさとは無縁で、きわめて具体的だ。高齢者ケア、災害対応、製造現場、そして福島第一原発の廃炉である。これは2040年までにAI搭載ロボット1,000万台、官民合わせて10.5兆円というより大きな枠組みの内側にあり、しかもマイクロンが広島工場に1.5兆円(93億ドル)を投じて高帯域幅メモリ生産設備を拡張する起工式を行ったのと同じ週に発表された。

Noetra社長・丹波弘信氏が示した根拠は、「ナショナリズム」の棚に放り込むのではなく、書かれたとおりに読むべきである。海外LLMへの依存は、機密情報の移転に関する懸念と、深刻な事業継続リスクを伴う――彼はそう述べた。これはスローガンではない。調達リスクの古典的な二大類型、すなわち機密性と継続性を、多くの企業がまだ「部品」として認識していない構成要素に適用しただけである。CNBCの46%という数字と並べて読むとき、丹波氏のこの一文は守勢の言い訳には聞こえなくなる。むしろ、今年この問題について誰かが示した唯一の取締役会レベルの言語化のように響きはじめる。

日本が何を買っていて、何を買っていないのかは、冷静に見極めたい。フロンティア研究所を買っているのではない。5年で1兆円という額は、米国の巨大クラウド事業者一社の四半期設備投資と同程度にすぎない。Noetraが汎用ベンチマークの首位に立つことはないだろうし、その必要もない。買っているのはオプションである。すなわち、決して国外に出せない種類のワークロードに対して「十分に良い」国産モデルだ――損傷した原子炉を廃炉にするロボット、メガバンクの内部元帳、病院の患者記録、防衛関連サプライヤーの図面。この予算規模の主権が購入できるのは覇権ではなく充足であり、そして充足こそが正しい目標である。西側との対比こそが、本稿の要点そのものだ。米国企業は、安価な既定値を積み重ねた結果として外国の推論インフラへ漂着した。日本は、その漂流に底を設けるために61億ドルを支出している。一方は戦略である。もう一方は、単なるルーティングテーブルである。

クロスボーダー事業者にとって、これが意味すること

まず、モデル層をサプライチェーンとして扱い、部品表(BOM)を作ることから始めよ。ほとんどの企業は、次の四つの基本的な問いに答えられない。先月、自社のトラフィックを処理したのはどのモデルか。その構成比はどれくらいか。どの法域の下にあったか。そして、どのようなデータ保持条件だったか。ゲートウェイが価格でルーティングしているなら、それは管理されていない依存関係であり、その構成はベンダーが販促価格を打ち出すたびに変わる。処方箋は禁止令ではない。棚卸しを行い、その上で階層化ポリシーを敷くことだ。コモディティ化したワークロード――下書き、分類、大量翻訳、社内要約――は、自社の評価基準を通過する最安のモデルへ流す。そこで生まれる節約は本物であり、享受して構わない。一方、規制対象・機密・顧客特定情報を含むワークロードは、自ら実際に読んだ契約条件の下で、名指しした特定のモデルに固定する。要点は決して「中国製モデルを避けよ」ではない。どのモデルがどのデータを見たのかを把握せよ、である。

第二に、AIの認証情報を「守るべき至宝」の地位へ格上げせよ。JADEPUFFERは、クラウド基盤の認証情報や暗号資産ウォレットと並んで、主要モデルプロバイダー四社のAPIキーを収集していた。この並びは偶然ではない。推論キーはいまや、武器であり、データ持ち出しの経路であり、上限のない請求債務でもある。金庫に格納し、可能な限り最小の権限に絞り、定期的にローテーションし、そして決してアプリケーション環境に置いたままにしないこと――パッチ未適用の開発ツールに潜むリモートコード実行の欠陥が、プロセスからそれを読み出せてしまうからだ。まさにそれが、あのエージェントが歩いた経路である。

日本と欧州のあいだで事業を営む企業にとって、これは単なるエンジニアリングの問題ではなく、コンプライアンスの継ぎ目である。EU AI法の透明性義務および汎用AI(GPAI)義務、日本の個人情報保護法(APPI)が定める個人データの越境移転規制、そして午前3時にたまたま最も安かった推論エンドポイントへ顧客レコードを黙って送り出すルーティング層――これらは心地よく共存しない。ここが、Medusa Japanがクライアントとともに取り組んでいる領域だ。モデルの部品表を作り、コンプライアンス責任者が説明できる法域別ルーティング規則を書き、そしてローカライゼーションのパイプラインを設計する。すなわち、大量の一次処理は安価なモデルに任せ、実際に顧客の目に触れる最終工程は、固定した特定モデルとネイティブスピーカーの人間が担う、という設計だ。安価な知能は本物の贈り物である。2年前には手の届かなかったことを、小さなチームに可能にしてくれた。だが、統治されない安価な知能は負債である。そして今月、その負債はProton Mailのアドレスを手に入れた。

よくある質問

中国発のAIモデルの利用はやめるべきでしょうか?

一律の禁止は誤った道具です。多くの企業にとって、それはリスクを減らさないままコストだけを押し上げるでしょう。正しい打ち手は分類です。自社のワークロードを、データの機微性と規制上の露出度で仕分けてください。下書き作成、分類、社内要約、大量翻訳はコモディティ業務であり、機微性は低く、60〜90%のコスト削減はまぎれもない競争優位になります。他方、個人データ、規制対象の記録、営業秘密、顧客を特定しうる情報に触れるものはすべて、自ら読んだ契約条件の下で、規制当局に説明できる法域にある特定のモデルに固定すべきです。失敗とは、中国製モデルを使うことではありません。失敗とは、使っていることを知らないことです。

JADEPUFFERは、AI主導の攻撃が防ぎようのないものだと示しているのでしょうか?

いいえ。むしろ細部は逆を語っています。このエージェントはゼロデイを発見したわけではありません。パッチ未適用のリモートコード実行の欠陥を抱えたまま、インターネットに露出していたLangflowインスタンスから堂々と入り、何年も前に公表済みのNacosの脆弱性を使って移動し、初期設定のままの認証情報minioadmin:minioadminで守られたストレージバケットを列挙しただけです。この侵入経路のすべての段階は、平凡な衛生管理で塞げます。パッチ管理、認証情報のローテーション、初期パスワードの廃止、データベース管理のIP制限、そして外向き通信の統制です。変わったのは高度さではなく速度です――エージェントはログイン失敗から31秒で立ち直りました。つまり、検知と対応の時間的余裕が圧縮されるのです。またSysdigは、防御側が活かすべき利点も指摘しています。エージェントは実行ログの中で自らの推論を語ります。慎重な人間の侵入者なら決して残さない検知シグナルが、そこにあるのです。

日本のNoetraは、OpenAIやAnthropicの現実的な競合になりうるのでしょうか?

いいえ。そして、そもそもそれを目指してもいません――ここが主権AI構想について最も見落とされる点です。5年で約1兆円という額は、米国の巨大クラウド事業者一社の四半期設備投資と同程度にすぎません。Noetraが汎用ベンチマークの首位に立つことはないでしょう。その使命はもっと狭く、もっと擁護しやすいものです。ロボティクスとフィジカルAIに最適化されたマルチモーダルモデルであり、本当に日本国外へ出せないワークロード――福島第一の廃炉、高齢者ケア、災害対応、製造現場、そして銀行や病院の機密システム――に奉仕します。「GPT-5.5に勝つ」という物差しで測れば、割の悪い投資に見えるでしょう。しかし「海外プロバイダーが条件を変え、価格を上げ、あるいは供給を止めても、我々は事業を継続できると保証する」という物差しで測れば、それは保険料も給付内容も明快な保険です。

これまで一度も考えたことがない企業にとって、最初の一歩は何でしょうか?

モデルの部品表(BOM)を作ること。そして、それに二週間の期限を与えることです。自社スタック内のすべてのAIゲートウェイ、SDK、サードパーティ製SaaS機能からログを吸い出し、一枚の表に仕立ててください。モデル名、プロバイダー、原産国、月間トークンに占める比率、処理したデータの分類、そして契約上のデータ保持条件。ほとんどのチームは、少なくとも一つの驚きに出会います――社内の誰も選んでいないモデルへ、組み込みのベンダー機能が顧客のテキストを黙って送っていた、というような。その表さえあれば、あとはすべてそこから導かれます。階層化ポリシー、認証情報の金庫保管、法域別ルーティング規則、そしていずれ規制当局や最大顧客と交わすことになる会話です。棚卸ししたことのないサプライチェーンを統治することはできません。Medusa Japanでも、クロスボーダーのクライアントと最初に作るのは、この棚卸し表です。

ブランドを変革する準備はできましたか?

Medusa Japanは、AIイノベーションと日本のデザイン原則を組み合わせ、卓越したデジタル体験を創造します。

お問い合わせ

日本市場への準備はできていますか?

無料スコアカードで5つのカテゴリを評価し、個別の準備度レポートを取得しましょう。

スコアカードを試す
Medusa Japan

Medusa Japan

Medusa Japanは大阪を拠点とするクリエイティブエージェンシー兼AIプロダクトスタジオで、日本とグローバル市場間のクロスボーダービジネス戦略を専門としています。

関連記事

AIテクノロジー

軌道上のデータセンター、月面の工場:なぜSpaceXとxAIの宇宙コンピューティング計画への『不可能』宣告が2026年で最も安易な誤りなのか

2026年、SpaceXはxAIを統合し、最大100万基の衛星打ち上げを申請し、そしてAI-1を公開した──NVIDIAのラック1台分ほどの電力を消費し、ボーイング747より幅広い軌道上データセンターである。計画はそこからさらに積み上がる。あらゆるプロジェクトに供給する年産1テラワット級のチップ製造工場『Terafab(テラファブ)』、2027年末までに年間1ギガワットの軌道コンピューティングを目指す『Gigasat』工場、そして完成した衛星を電磁カタパルトで宇宙へ射出する月面の製造拠点だ。LinkedInのソートリーダーやYouTubeの解説者たちは、すでにこの計画全体を『不可能』と断じている──再使用ロケットにも、Starlinkにも、電気自動車にも、同じ顔ぶれが下したのと同じ判定だ。本稿では、真剣な反論が物理ではなくタイムラインと経済性に関するものであること、そして全稼働衛星の三分の二を打ち上げた企業を退けることが、意思決定者にとって最も安易な誤りである理由を論じる。

AIエージェンティックAI

エージェント・ギャップ:なぜ企業はAIエージェントを導入しても本番投入できないのか──そして日本の実利的なロボットがその溝の埋め方について教えること

2026年、ほぼ誰もがAIエージェントの試験導入を抱え、そしてほぼ誰も本番環境でエージェントを動かせていない。調査では導入率が約79%に達する一方、実際にスケールでエージェントを稼働させている組織はわずか11%ほど──このギャップこそが今年を定義している。ボトルネックはモデルの品質ではない。展開、ガバナンス、そして信頼である。今週の発表──不可逆な変更を一切許さずに本番ネットワーク上で動作するItentialのエージェント、GoogleのGemma 4エージェント型モデル、はるかに安価な長文脈処理を実現するMiniMaxのM3、そして脆弱性を狩るAnthropicのProject Glasswing──は、一つの新しいテーマを共有している。すなわち「ブレーキ」が機能になったのだ。その一方で、日本は静かに機能している対抗モデルを示している。避けられない労働力不足に直面した日本は、AI──とりわけフィジカルAI──を、具体的なボトルネックに対して、限定された役割で、人間が依然として管理する形で展開している。日本航空は羽田でヒューマノイドを試験運用し、日本企業の三分の一がロボットを利用または検討し、経済産業省は2040年までに世界のフィジカルAI市場の30%獲得を目指している。クロスボーダーの意思決定者への教訓は単純で、そして耳が痛い。自律性を見出しとして追いかけるのをやめ、限定された範囲と初日からのガバナンスとともに、現実の問題に対してそれを展開し始めることだ。