評価額1兆円のAI企業で4TB流出、フリーランスへの影響は

評価額100億ドルの企業を襲ったサイバー攻撃
Meta は契約停止、OpenAI は調査中
1. セキュリティ認証の信頼性が問われる
フリーランスにとっての教訓
1. どう対策すればいいのか
フリーランスへの影響
まとめ

評価額100億ドルの企業を襲ったサイバー攻撃

Mercor は AI を使った人材マッチングサービスを提供する企業で、2025年10月に3億5,000万ドルを調達したばかりでした。企業評価額は100億ドル、年間収益も100億ドルを超える規模です。そんな急成長企業が、2026年3月31日に大規模なデータ流出を公表しました。

流出したデータは合計4TB。これには求職者のプロフィールや個人情報だけでなく、雇用主のデータ、さらには企業のソースコードや API キーまで含まれていました。API キーが漏れるということは、攻撃者が Mercor のシステムに自由にアクセスできる状態だったということです。

攻撃の原因は、Mercor が利用していたオープンソースツール「LiteLLM」のハッキングでした。LiteLLM は1日に数百万回ダウンロードされる人気ツールで、さまざまな AI モデルを統合的に扱えるため、多くの開発者が使っています。攻撃者はこのツールにマルウェアを仕込み、わずか40分間でログイン認証情報を盗み出しました。

Meta は契約停止、OpenAI は調査中

この流出を受けて、Meta は Mercor との契約を無期限に停止しました。Meta は AI モデルのトレーニングデータを Mercor から調達していたため、今後は別の企業に切り替える可能性が高いとされています。実際、Meta は競合の Scale AI に143億ドルを支出しているとも報じられています。

一方、OpenAI は流出の影響を調査中としながらも、現時点では契約の中止や終了は行っていないと発表しました。ただし、他の大手 AI 企業も契約関係を見直しているとされ、Mercor にとっては大きな痛手です。

さらに、Mercor の契約者5名が個人データ流出に関する訴訟を起こしました。そのうち1件では、LiteLLM と、セキュリティ認証を提供していた Delve という AI コンプライアンススタートアップも被告に含まれています。

セキュリティ認証の信頼性が問われる

今回の事件で注目されているのが、Delve という企業の役割です。Delve は LiteLLM のセキュリティ認証を提供していましたが、その認証データに偽造の疑いがあるとされています。いわゆる「ゴム判を押すような監査」をしていたのではないかという疑惑です。

この問題を受けて、スタートアップ支援で有名な Y Combinator は Delve との関係を解除しました。現在、LiteLLM は別の AI コンプライアンススタートアップと協力してセキュリティ認証を再取得しようとしています。また、LiteLLM はセキュリティ事件に関する完全なレポートを公開し、透明性を保つ姿勢を見せています。

フリーランスにとっての教訓

この事件は、私たちフリーランスにとっても他人事ではありません。多くのフリーランスが、業務効率化のために ChatGPT や Claude などの AI ツールを使っています。そして、それらのツールを統合管理するために、LiteLLM のようなオープンソースツールを使っている人もいるでしょう。

今回の事件で分かったのは、オープンソースツールにも脆弱性があるということです。LiteLLM は人気のあるツールで、多くの開発者が信頼していました。しかし、わずか40分間のハッキングで、大量のデータが流出してしまいました。

特にフリーランスの場合、クライアントから預かったデータを扱うことも多いはずです。もしそのデータが流出したら、信頼を失うだけでなく、損害賠償を求められる可能性もあります。今回の Mercor の訴訟のように、個人が企業を訴えるケースも増えています。

どう対策すればいいのか

完全にリスクをゼロにすることはできませんが、いくつかの対策は可能です。まず、使っているツールのセキュリティ情報を定期的にチェックすること。特にオープンソースツールの場合、GitHub などで脆弱性に関する報告がないか確認しましょう。

次に、API キーの管理です。API キーは一度流出すると、攻撃者が自由にシステムにアクセスできるようになります。定期的にキーを更新し、必要最低限の権限しか与えないようにしましょう。

そして、クライアントデータを扱う場合は、できるだけローカル環境で作業するか、セキュリティが確保されたクラウドサービスを使うことです。無料のツールや、セキュリティ認証が不明確なツールは避けた方が無難です。

フリーランスへの影響

今回の事件は、AI ツールを使う私たちにとって大きな警鐘です。フリーランスは企業と違って、専任のセキュリティ担当者がいるわけではありません。自分自身でリスクを管理しなければなりません。

特に影響を受けやすいのは、AI を使ったコンテンツ制作やデータ分析を行っているフリーランスです。クライアントから預かったデータを AI ツールに入力することも多いでしょう。もしそのツールが今回の LiteLLM のようにハッキングされたら、クライアントデータが流出する可能性があります。

また、今回の事件で Meta が契約を停止したように、大手企業はセキュリティに非常に敏感です。フリーランスとして大手企業と取引する場合、セキュリティ対策がしっかりしていることを証明できないと、契約を結べない可能性もあります。

一方で、この事件をきっかけにセキュリティ意識が高まれば、それは良いことです。セキュリティ対策をしっかり行っているフリーランスは、クライアントからの信頼を得やすくなるでしょう。今のうちから対策を講じておくことで、将来的な競争優位性につながるかもしれません。

まとめ

Mercor の大規模データ流出は、AI ツールを使う私たち全員にとっての教訓です。便利なツールでも、セキュリティリスクがあることを忘れてはいけません。フリーランスとして、クライアントデータを守る責任があります。使っているツールのセキュリティ情報を定期的にチェックし、API キーの管理を徹底しましょう。完全にリスクをゼロにすることはできませんが、できる限りの対策を講じることが大切です。

参考情報: 今回の事件に関する詳細は、LiteLLM の公式レポートで確認できます。