サプライチェーン攻撃によるデータ流出で、Mercorの100億ドルの評価額が危機に

AI採用スタートアップのMercorへのサイバー攻撃により、OpenAI、Anthropic、Metaなどの顧客の機密データが流出し、急成長する人工知能業界を支えるソフトウェアサプライチェーンの重大な脆弱性が浮き彫りになりました。Mercorが水曜日に認めたこのデータ流出は、数千の企業が大規模言語モデルへの接続に使用している人気のオープンソースツール「LiteLLM」に埋め込まれた悪意のあるコードに起因しています。この事件は、Mercorの100億ドルの評価額に圧力をかけ、AI開発エコシステム全体のセキュリティに疑問を投げかけています。

「お客様と請負業者のプライバシーとセキュリティは、Mercorで行うすべての活動の基盤です」と、同社の広報担当ハイディ・ハグバーグ氏はFortune誌への声明で述べました。ハグバーグ氏は、同社がLiteLLMの侵害の影響を受けた「数千社」のうちの1社であることを確認し、封じ込めに迅速に動いた後、第三者のフォレンジック専門家を雇用して侵害を調査していると述べました。

セキュリティ企業Snykによると、この攻撃はハッカー集団TeamPCPによって開始され、3月27日にLiteLLM Pythonパッケージの2つのバージョンに資格情報窃取マルウェアが注入されました。悪意のあるパッケージは数時間以内にPyPIリポジトリから削除されましたが、広範囲にわたる被害をもたらすには十分な時間でした。その後、悪名高い恐喝集団Lapsus$がMercorの流出事件への関与を主張し、リークサイトに4テラバイトを超えるデータを流出させたと投稿しました。盗まれたデータには、ソースコード、データベース記録、Slackの通信、プラットフォーム上のやり取りのビデオ録画が含まれているとされています。サプライチェーン攻撃で知られるTeamPCPが、恐喝に特化したLapsus$グループと協力したかどうかは不明ですが、Wizのセキュリティ研究者は、このような集団間に「危険な収束」が見られると指摘しています。

この流出は、モデルのトレーニングに高品質なデータを必要とするAI企業と専門分野のエキスパートを結びつけるMercorのビジネスの根幹を直撃しています。2023年に設立された同社は急速に成長し、1日あたり200万ドル以上の支払いを促進しており、2025年10月にはFelicis Venturesが主導するシリーズCファンディングラウンドで3億5,000万ドルを確保していました。システムの侵害により、OpenAIやAnthropicなどの業界リーダーを含むパートナーの専有データや、請負業者の個人情報および財務情報が漏洩する可能性があります。

AIサプライチェーンのシステム的リスク

Mercorの事件は、単一の侵害されたコンポーネントが業界全体に連鎖的な失敗をもたらすサプライチェーン攻撃の典型的な例です。攻撃の中心となったオープンソースライブラリLiteLLMは、クラウド環境の約36%でAI運用の合理化に使用されていると推定されています。この流出は、急速に動くAI業界がいかに特定のオープンソースツール群に依存するようになり、大規模に悪用される可能性のある単一障害点を生み出しているかを証明しています。

投資家にとって、この攻撃は急成長するハイテク企業に組み込まれたオペレーショナルリスクの重大な注意喚起となります。Mercorの100億ドルの評価額はAI経済における中心的な役割に基づいたものでしたが、その同じ立場が現在は同社を高価値な標的にし、システム的な脅威にさらしています。この余波により、顧客や規制当局からの監視が強化され、Mercorの成長軌道が鈍化する可能性があります。この事件は、業界全体でオープンソースソフトウェアのセキュリティ再評価を強いる可能性が高く、企業により堅牢なベンダーリスク管理や依存関係スキャニングへの投資を促すことになり、運用コストの増加や開発サイクルの長期化を招く可能性があります。その結果、SnykやCheckmarxなど、ソフトウェアサプライチェーンセキュリティを専門とするサイバーセキュリティ企業の株価への関心が高まる可能性があります。

本記事は情報提供のみを目的としており、投資助言を構成するものではありません。