Google Antigravity×OpenClawに学ぶ｜AI規約違反BANの全実態と防衛策

要約

2025年後半から2026年初頭にかけて、Google Antigravity・Claude・Grokなど主要AIサービスにおいて、利用規約違反によるアカウントBANが急増している。特にサードパーティツール経由でサブスクリプションのOAuthトークンを流用する「トークンアービトラージ」が最大のBAN原因となっている。本記事では、各サービスの実際のBAN事例を紹介しながら、何をするとアカウントが停止されるのか、どうすれば安全に利用できるのかを詳しく解説する。

対象読者: AIサービスを日常的に利用するエンジニア、サードパーティのAIコーディングツールを使用している開発者、アカウントBANのリスクを把握しておきたい方

この記事を読むことで得られるメリット

この記事を読むことで以下のことが分かる:

• Google Antigravity × OpenClaw大量BAN事件の全容と原因
• Claude（Anthropic）におけるOAuthトークン流用問題と蒸留攻撃の実態
• 「トークンアービトラージ」の技術的な仕組みとなぜ禁止されるのか
• BANされやすい5つの共通パターン
• アカウントBANを避けるための具体的な対策

この記事を読むのにかかる時間

約15分

Google Antigravity × OpenClaw 大量BAN事件（2026年2月）

Antigravityとは

Google Antigravityは、2025年11月にGemini 3のリリースと同時に発表された、AIエージェント駆動型の統合開発環境（IDE）である。AIエージェントが自律的にコードの計画・実行・検証・反復を行う「エージェントファースト」のパラダイムを採用している。

個人向けは無料プレビューとして提供されており、有料プランとしてGoogle AI Pro、AI Ultra（月額$249.99、約3.7万円）が存在する。

何が起きたのか

2026年2月12〜14日頃から、大規模なBANの波（ban wave）が発生した。

OpenClawなどのサードパーティツールがAntigravityのOAuthトークンを利用して、バックエンドに直接リクエストを送信する形で動作していた。

公式のAntigravity IDEには、プロンプトキャッシュ（同じ指示の再利用）、コンテキスト圧縮（不要な情報の削除）、レート制限（リクエスト頻度の制御）といった最適化が組み込まれている。サードパーティツールはこれらの最適化を一切持たず、生のリクエストをそのまま大量に送信するため、以下の問題が連鎖的に発生した。

• コスト構造の破壊: 公式IDEなら最適化によって抑えられるはずの処理コストが、最適化なしのリクエストでは1件あたり5〜10倍に増大。定額プランの料金設定はこれらの最適化が機能する前提で計算されていた
• バックエンドの過負荷: Googleのバックエンドに想定外の負荷が集中し、正規ユーザーへのサービス品質が著しく低下

影響の規模

• 月額$249.99のAI Ultraを含む有料プラン加入者が多数影響を受けた
• 一部のユーザーはGmail、YouTube、Google Workspaceなど、Googleアカウント全体が停止されたとの報告もある
• 事前警告なし、猶予期間なし、自動返金なし

重要な論点：事後的な規約明文化

BANが行われた時点では、利用規約にOpenClawなどサードパーティツールの使用を明示的に禁止する条項が存在しなかったことが大きな論点であった。Googleは事後的にFAQを更新し、Claude Code・OpenClaw・OpenCodeを禁止ツールとして明示的に記載するとともに、サードパーティツール経由のアクセスが既存の利用規約に違反することを明確化した。

Claude（Anthropic）のサブスクリプション規約外利用とBAN事例

利用規約の関連条項

AnthropicのConsumer Terms of Serviceには、以下の重要な条項がある。

• セクション3.7: 「Anthropic API Keyまたは明示的な許可がない限り、ボット、スクリプト、その他の手段による自動アクセスを禁止」。つまり、正規のAPIキーによる自動アクセスと、Anthropicが明示的に許可したツール（公式Claude Code等）は例外として認められるが、サードパーティツールがOAuthトークンを流用するケースはどちらの例外にも該当しないため禁止される
• セクション6: 規約違反でサービスへのアクセスが終了された場合、サブスクリプションの返金は行わない
• 2026年2月19日追加: 「Claude Free/Pro/MaxアカウントのOAuthトークンを他の製品、ツール、サービス（Agent SDKを含む）で使用することは許可されず、Consumer Terms of Service違反となる」

「トークン・アービトラージ」問題 ─ サブスクリプションの規約外利用の本質

アービトラージ（arbitrage）とは、同じ価値を持つものの価格差を利用して利益を得る行為で、日本語では「裁定取引」とも呼ばれる金融用語である。この問題の核心は、定額制サブスクリプションと従量課金APIの間に存在する巨大な価格差を悪用する「トークン・アービトラージ」にある。本来APIで従量課金されるべき大量のリクエストを、定額サブスクリプションのOAuthトークン経由で安く処理させる行為を指す。

技術的な仕組み ─ なぜサブスクリプションでAPI的な利用ができてしまうのか

まず前提として、Claude Code（公式CLIツール）はAPIキーではなく、サブスクリプションに紐づいたOAuthトークンで認証している。ユーザーがClaude Codeにログインすると、ブラウザ経由でClaude.aiのOAuth認証が行われ、トークンが発行される。Claude Codeはこのトークンを使ってAnthropicのバックエンドに直接リクエストを送信する。

ここで重要なのは、OAuthトークンはただの認証情報であり、どのHTTPクライアントからでも送信できるという点である。実際にOpenClawは、APIキーの代わりにOAuthトークンを使用して、すべてのエージェントリクエスト、ツール呼び出し、メモリ操作、およびスウォーム調整をAnthropicのバックエンドに直接ルーティングしていた。

正規利用の流れ:

copyユーザー → Claude Code（公式CLI）でOAuth認証
         → トークン取得
         → Claude Code が内蔵のレート制限に従ってリクエスト送信
         → Anthropic バックエンド

不正利用の流れ:

copyユーザー → Claude Code でOAuth認証してトークンを取得
         → そのトークンをサードパーティツール（OpenCode等）に入力
         → ツールがHTTPヘッダーを偽装
            ・User-Agent: "claude-cli/..."
            ・ベータヘッダー: "claude-code-20250219"
         → Anthropicのサーバーは「公式Claude Codeからのリクエスト」と誤認
         → レート制限なしで大量リクエストを処理

ポイントは3つである。

1. OAuthトークンは汎用的: トークン自体はただの認証情報なので、どのHTTPクライアントからでも送信可能
2. クライアントの偽装（スプーフィング）: サードパーティツールがHTTPヘッダーをClaude Codeと同じ値に設定し、公式CLIになりすました
3. レート制限の欠如: 公式Claude Codeにはレート制限が組み込まれていたが、サードパーティツールはこの制限を持たないため、制限なしにリクエストを送り放題だった

事件の詳細な時系列

2026年2月19日: OpenCodeがClaude OAuth対応を削除・利用規約の正式明文化

OpenCodeのプロジェクトリーダーDax Raadが、Anthropicからの法的要請を受けて、Claudeのサブスクリプション（Pro/Max）のOAuthトークンで認証してリクエストを送る機能一式を丸ごと削除した。コミットメッセージは「anthropic legal requests」と記載された。

同日、AnthropicがClaude Code法的コンプライアンスドキュメントを更新し、以下を明文化した。

• OAuth認証はClaude CodeとClaude.ai専用
• サードパーティでの利用はConsumer Terms of Service違反
• 事前通知なしの執行権を明記

影響を受けたツール一覧

中国AI企業による産業規模の蒸留攻撃（2026年2月）

2026年2月23日、Anthropicは公式ブログで中国の3社がClaudeに対して**産業規模の蒸留攻撃（industrial-scale distillation attacks）**を行ったことを告発した。

名指しされた3社と規模

合計で約24,000件の不正アカウントが作成され、1,600万回以上のやり取りが行われた。

攻撃の手法

中国からの商業アクセスは制限されていたが、3社は商用プロキシサービスを利用して地理的制限を回避した。「Hydra Cluster（ヒドラ・クラスター）」と呼ばれる構造で、1つのプロキシネットワークが20,000以上の不正アカウントを同時管理し、蒸留トラフィックを無関係な顧客リクエストと混在させて検知を困難にしていた。

特に注目すべきはDeepSeekの手法である。推論能力の抽出だけでなく、反体制派や党指導者に関する政治的に敏感なクエリに対して、検閲に引っかからない代替回答を生成させていたことが判明している。

Anthropicの対応

• 行動フィンガープリンティングや分類器ベースの検知システムを構築し、不正アカウントを特定・BAN
• 2025年9月: 中国に本社がある企業に50%以上所有されているエンティティは、所在地に関係なくClaudeへのアクセスを禁止（ByteDance、Tencent等が影響）
• 技術指標を他のAIラボ、クラウドプロバイダー、関連当局と共有

この事件は、利用規約の**「競合製品・サービスの構築を目的としたサービスへのアクセスは禁止」「リバースエンジニアリングまたは複製の禁止」**に明確に違反するものである。

その他のClaude BAN事例

アカウント共有によるBAN

アカウント共有は利用規約で禁止されており、複数ユーザーが異なるIPアドレスやデバイスからログインすると、異常なアクティビティとして検出されBANの対象となる。

現在の「許可される利用」と「禁止される利用」

Grok（xAI）のユニークなアプローチ

xAIのGrokは、BANではなく課金によるペナルティを採用している点が特徴的である。自動システムがリクエストを利用規約違反と判定した場合、1リクエストあたり0.05ドルの違反手数料を請求する。著作権・商標違反、プライバシー侵害が主な違反カテゴリである。

サードパーティツールでのサブスクリプション利用が禁止される理由

各社ともサードパーティツールでのサブスクリプションOAuthトークン利用を禁止しているが、その理由を体系的にまとめた公式ドキュメントは存在しない。公式声明や報道から確認できる禁止理由は以下の通りである。

• 価格設計の前提が崩れる: サブスクリプションの定額料金は、公式ツールの最適化（プロンプトキャッシュ・コンテキスト圧縮・レート制限）が機能する前提で設計されている。サードパーティツール経由では最適化が効かず、プロバイダーが負担するコストが数倍〜数十倍に膨れ上がる
• レート制限を回避される: 公式ツールのレート制限はクライアント側で実装されていたケースがある（Claude Code等）。サードパーティツールはこの制限を実装しないため、無制限にリクエストを送信できてしまう
• テレメトリ（使用状況の監視）が効かなくなる: 公式ツールはリクエストと一緒に使用状況データを送信しているが、サードパーティ経由ではこのデータが取れず、異常利用の検知やデバッグ、容量計画が困難になる。Anthropicのエンジニアも「通常のテレメトリなしに異常なトラフィックパターンを生成する」と言及している
• 安全フィルターの迂回: 公式ツールにはコンテンツの安全性チェックが組み込まれているが、サードパーティツールがそれを実装している保証がない
• 正規ユーザーへの影響: 上記すべての結果として、バックエンドに想定外の負荷がかかり、定額を支払っている正規ユーザーのサービス品質が低下する

BANされる人たちの5つの共通パターン

パターン1: サードパーティツール経由のトークンアービトラージ

月額定額サブスクリプション（Claude Max $200/月、Google AI Ultra $250/月等）を第三者ツール経由で使い、API従量課金よりも大幅に安いコストで大量のリクエストを実行するパターンである。2026年の最大のBAN原因となっている。

パターン2: ジェイルブレイク・安全フィルターの回避

安全フィルターを回避するプロンプトの使用は最もリスクの高い行為の一つである。

パターン3: アカウント共有・複数アカウント

APIキーの共有、1つのアカウントを複数人で利用、BAN回避のための新規アカウント作成はすべて禁止されている。

パターン4: 自動化・ボット的行動

短時間での大量リクエスト送信、AIを自律的な自己修復ループに閉じ込めて一晩中走らせる手法なども BANの原因になる。

パターン5: VPN・プロキシの使用

頻繁なIPアドレス変更が不審な活動として検出される。サービス未提供地域からのアクセスも禁止されている。

アカウントBANを避けるための具体的な対策

対策1: 公式ツールを使うか、サードパーティツールでは正規のAPIキーを使用する

サブスクリプション（定額制）のOAuthトークンをサードパーティツールで流用することが、2026年の最大のBAN原因である。公式ツールを使うか、サードパーティツールを使う場合は必ず**正規のAPIキー（従量課金）**で接続する必要がある。

公式ツールの例（サブスクリプションでそのまま利用可能）:

• Claude: Claude.ai（Web）、Claude Code（公式CLI）
• ChatGPT: ChatGPT（Web/アプリ）、ChatGPT Canvas
• Google: Google Antigravity（公式IDE）、Google AI Studio

サードパーティツールの例（サブスクリプションOAuthでの利用は規約違反）:

• OpenCode: GitHubスター56,000超のClaude Code代替ツール。ClaudeのOAuthトークンを流用して動作していた
• OpenClaw: AIエージェントツール。Claude・Google Antigravityの両方からBANされた
• Cline: VS Code拡張のAIコーディングアシスタント。ClaudeサブスクリプションのOAuthブロックの影響を受けた
• Roo Code / Kilo Code: 同様にClaudeサブスクリプションのOAuthブロックの影響を受けたコーディングツール

これらのサードパーティツールでも正規のAPIキー（従量課金）を使って接続する分には問題ない。禁止されているのは、あくまでサブスクリプションのOAuthトークンを流用する使い方である。

対策2: 利用規約を定期的に確認する

規約は頻繁に更新される。特に2025年〜2026年にかけて各社とも大幅な規約改定を行っている。

対策3: 安定したネットワーク環境を使用する

VPNやプロキシの頻繁な切り替えは、AIサービスの不正検知システムに引っかかる大きなリスク要因である。

なぜ危険なのか:

• AIサービスはIPアドレスの変動パターンを監視している。短時間で日本→アメリカ→ドイツのように異なる国のIPからアクセスがあると、「アカウントが乗っ取られた」「複数人で共有している」と判定される可能性がある
• 前述の中国企業による蒸留攻撃でも、プロキシサービスを使った地理的制限の回避が主要な手口であった。そのため各社ともプロキシ経由のアクセスに対する検知が非常に厳しくなっている
• サービス未提供地域（中国、北朝鮮、イラン等）からのアクセスは利用規約で禁止されており、VPNを使った回避もアカウント停止の対象となる
• 無料のVPNサービスでは、他のユーザーとIPアドレスを共有するため、過去に別のユーザーが規約違反を行ったIPからアクセスすることになり、巻き添えBANのリスクもある

推奨事項:

• 自宅や職場など、一貫したネットワーク環境からアクセスする
• VPNを使う必要がある場合は、同じ国・同じサーバーに固定する
• フリーWi-Fiや共有ネットワークからの利用は避ける

まとめ

2025年後半から2026年初頭にかけて、AIサービスプロバイダー全体で利用規約の執行が急激に強化されている。特に大きなインパクトがあったのは以下の3点である。

1. サードパーティツール経由のサブスクリプション悪用の全面禁止: Google、Anthropicが相次いで大規模BANを実施
2. 自動検出システムの誤検知: プロンプトインジェクション検知やIPベースのリスク判定により、正当なユーザーがBANされるケースが多発
3. 規約の事後的明文化: BAN時点では明確な禁止条項がなかったケースもあり、ユーザーとの信頼関係が問題に

最も重要な対策は、正規のAPIキーと公式ツールを使用すること、利用規約を定期的に確認すること、そして警告を受けたら直ちに対応することである。AIサービスは便利だが、「知らなかった」では済まされないリスクがあることを認識しておく必要がある。