AI採用大手Mercor、サイバー攻撃被害を公表

急成長AI企業を襲ったサイバー攻撃
サプライチェーン攻撃とは何か
1. ハッキンググループの主張
フリーランスへの影響と教訓
1. 実際に取れる対策
今後の展開と業界への影響
まとめ

急成長AI企業を襲ったサイバー攻撃

2023年に設立されたばかりのMercorは、わずか2年でユニコーン企業へと成長しました。2025年10月には3億5000万ドルのシリーズC資金調達を完了し、企業評価額は100億ドルに到達しています。同社はOpenAIやAnthropicなどの大手AI企業と連携し、インドなどの市場から科学者、医師、弁護士といった専門家を契約して、AIモデルのトレーニングを支援するビジネスモデルを展開しています。

今回のサイバー攻撃は、単なる一企業の問題ではありません。攻撃の入口となったのは「LiteLLM」というオープンソースプロジェクトでした。このライブラリは1日に数百万回ダウンロードされており、多くの企業が利用しています。セキュリティ企業Snykによれば、悪意あるコードが発見されてから数時間以内に削除されたものの、その間に「数千社の企業」が影響を受けた可能性があるとのことです。

サプライチェーン攻撃とは何か

今回の攻撃手法は「サプライチェーン攻撃」と呼ばれるものです。これは、直接企業を狙うのではなく、多くの企業が利用する共通のツールやライブラリに悪意あるコードを仕込む手法です。たとえば、あなたが日常的に使っているWordPressのプラグインや、開発者が利用するライブラリに不正なコードが混入していたら、それを使うすべてのユーザーが被害に遭う可能性があります。

LiteLLMは、複数のAIモデルを統合的に扱うためのツールとして広く使われています。つまり、ChatGPTやClaudeなどの異なるAIサービスを一つのインターフェースで管理できる便利なツールです。そのため、AI関連のサービスを提供する企業の多くが導入しており、今回の攻撃は広範囲に影響を及ぼした可能性があります。

ハッキンググループの主張

攻撃を仕掛けたとされるのは「TeamPCP」と呼ばれるグループですが、恐喝ハッキンググループ「Lapsus$」もMercorを標的にしたと主張しています。Lapsus$が公開したとされるデータサンプルには、Slackでのやり取り、チケットシステムのデータ、さらにMercorのAIシステムと契約者の会話を録画した2つのビデオが含まれていました。

Mercorの報道官Heidi Hagbergは「セキュリティインシデントの封じ込めと是正を迅速に行いました」とコメントしています。同社は大手フォレンジック専門家による徹底的な調査を進めており、顧客と契約者に継続的に連絡を取っているとのことです。ただし、実際に顧客や契約者のデータが流出したかどうかについては、現時点では明らかにされていません。

フリーランスへの影響と教訓

この事件は、フリーランスや個人事業主にとっても他人事ではありません。特にAIツールを業務で利用している場合、自分が使っているサービスのセキュリティがどうなっているかを意識する必要があります。

たとえば、あなたがChatGPTのAPIや、複数のAIツールを組み合わせたワークフローを構築している場合、それらのツールが安全に管理されているかを確認することが重要です。特にオープンソースのライブラリやプラグインを使用している場合、定期的にアップデートを確認し、セキュリティ情報をチェックする習慣をつけるべきでしょう。

また、Mercorのような企業と契約している専門家の立場から見れば、自分の作業内容や個人情報がどのように管理されているかを把握しておくことも大切です。契約時に、データの取り扱いやセキュリティポリシーについて確認しておくと、万が一の際に備えられます。

実際に取れる対策

完全に攻撃を防ぐことは難しいですが、リスクを減らすためにできることはあります。まず、使用しているツールやサービスの公式アナウンスを定期的にチェックすることです。多くの企業は、セキュリティインシデントが発生した際に公式ブログやSNSで通知を出します。

次に、重要なデータは複数の場所にバックアップを取っておくことです。クラウドサービスだけでなく、ローカルにもコピーを保存しておけば、万が一サービスが停止した場合でも業務を継続できます。

さらに、パスワード管理ツールを使って強力なパスワードを設定し、二段階認証を有効にすることも基本的ですが効果的な対策です。特に複数のAIツールやクラウドサービスを使っている場合、それぞれに異なるパスワードを設定しておくことで、一つのアカウントが侵害されても他のサービスは守られます。

今後の展開と業界への影響

Mercorは現在も調査を進めており、被害の全容は明らかになっていません。同社は顧客と契約者への連絡を続けているとしていますが、具体的な影響範囲や流出データの内容については公表していません。

この事件は、AI業界全体にとって警鐘となるでしょう。急速に成長する業界では、セキュリティ対策が後手に回りがちです。特にオープンソースプロジェクトは便利で広く使われる一方、悪意ある攻撃者にとっても格好のターゲットになります。今後、AI関連企業はセキュリティへの投資をさらに強化する必要があるかもしれません。

フリーランスとしてAIツールを活用している方は、自分が使っているサービスの安全性について、定期的に見直す習慣をつけておくと良いでしょう。信頼できる企業のサービスを選ぶこと、公式の情報源をフォローすること、基本的なセキュリティ対策を怠らないことが、自分のビジネスを守るための第一歩です。

まとめ

今回の事件から学べるのは、どれだけ大きな企業でもサイバー攻撃のリスクからは逃れられないということです。フリーランスや個人事業主として、自分が使っているツールのセキュリティ情報には常にアンテナを張っておきましょう。特にオープンソースツールを使っている場合は、公式のアップデート情報を定期的に確認することをおすすめします。完璧な対策はありませんが、基本的なセキュリティ習慣を身につけておくことで、リスクは確実に減らせます。

参考記事：TechCrunch