詳細を読む
AIデータ学習スタートアップのMercorが3月31日に公表したサイバー攻撃の被害が、急速に拡大しています。ハッカー集団は4TB規模の社内データを窃取したと主張し、同社の大口顧客であるMetaは既に契約を無期限で停止しました。半年前に評価額100億ドルで350億円規模の資金調達を成功させた有力企業が、一転して経営リスクに直面しています。
流出したとされる情報は、候補者プロファイル、個人を特定できる情報、雇用主データ、ソースコード、APIキーなど機密性の高い中核資産に及びます。Mercorはデータの真正性について言及を避け、調査継続と顧客・契約者への個別対応に努めると述べるにとどめています。被害規模の正式な開示が遅れるなか、憶測と不信感が市場に広がりつつあります。
攻撃の起点となったのは、オープンソースのAIゲートウェイLiteLLMの侵害でした。同ツールには約40分間、認証情報を盗むマルウェアが仕込まれ、窃取された資格情報が連鎖的に悪用されてMercorのシステム侵入につながったとされます。1日あたり数百万回ダウンロードされる人気ツールの脆弱性が、業界全体のサプライチェーンリスクを浮き彫りにしました。
影響はMetaにとどまらず、OpenAIも自社の暴露範囲を調査中だとWiredに認めています。契約こそ継続しているものの、TechCrunchは他の大手モデル開発企業もMercorとの関係見直しを検討していると報じました。AIデータ学習会社はモデル各社の学習データや独自プロセスという最重要機密を預かる立場にあり、信頼毀損の代償は甚大です。
さらに契約者5人が個人情報漏洩を理由に集団訴訟を提起し、うち1件はLiteLLMと監査スタートアップのDelveも被告に加えました。DelveはLiteLLMのセキュリティ認証を担当していましたが、内部告発によりデータ捏造と形骸化した監査が指摘され、Y Combinatorが関係を解消する事態に発展しています。Mercor自体はDelveの顧客ではないと説明しています。
Mercorは漏洩発覚前の時点で年商10億ドルペースに到達していたと報じられており、契約停止が長引けば事業基盤への打撃は避けられません。AI学習データの委託市場は信頼が最大の通貨です。今回の連鎖的な情報流出事件は、サプライチェーンセキュリティと第三者監査の質を経営課題として再認識させる警鐘と言えるでしょう。