時価総額100 億ドルの評価を受ける AI 研修スタートアップ、Mercor が深刻なデータ侵害事件に見舞われている。半年前、同社は3 億5000 万ドルの C ラウンド資金調達を果たしたが、2024 年 3 月 31 日に不正アクセスを認めて以降、多大な混乱に直面している。ハッカー集団は 4TB に及ぶ機密データの窃取を主張しており、候補者プロフィール、個人情報、雇用主データ、ソースコード、API キーなどが含まれている可能性がある。Mercor はデータの真偽には言及せず、調査中であると述べるに留めている。 今回の侵害は、日数百万回のダウンロードがある人気のオープンソースツール「LiteLLM」を介して発生した。同ツールには 40 分間、認証情報を盗むマルウェアが仕込まれており、その資格情報を用いて他のシステムへの不正アクセスが連鎖的に拡大したとされる。Mercor はこの攻撃が結果的に自社のシステムにも影響を与えたと説明している。 事件の影響は事業全体に波及している。主要クライアントの一つである Meta は、Mercor との契約を無期限停止していると報じられている。AI 研修企業はモデル開発会社の独自データやプロセスといった重要な商管を扱うため、他社への依存度も高い状況だ。競合他社に対し巨額投資を行った Meta でさえ、Mercor との関係を継続していた背景にはその重要性がある。OpenAI は侵害調査を完了していないが、現時点では契約停止は行っていないと確認されている。しかし、他社の大手モデル開発会社も取引を見直している可能性があり、Mercor の売上で数十億ドル規模の影響が出る懸念がある。 また、Mercor で働く契約社員 5 名が個人情報漏洩を理由に訴訟を起こしており、LiteLLM やセキュリティ認証機関「Delve」も被告として名指しされている。Delve は認証データを偽装した疑いで Y Combinator との関係を解消され、LiteLLM は現在別の認証機関との取引を開始している。Mercor 自体は Delve の顧客ではなかったが、セキュリティ認証プロセスの信頼性が問われる中で、同社の事業存続が懸念されている。事件は依然として進行中であり、今後の展開次第で同社の将来が左右されることになる。