人工知能(AI)のデータ学習を手がけるアメリカのスタートアップ企業「Mercor」は、自社のシステムがサイバー攻撃を受け、情報漏えいの被害に遭ったと発表しました。同社は直近の資金調達で約542億5000万円(3億5000万ドル)を集め、企業価値が約1兆5500億円(100億ドル)に達する有力企業ですが、今回の問題を受けて大手IT企業が契約を停止するなど、事業への影響が広がっているということです。
ハッカーグループは、Mercorのシステムから4テラバイトに上るデータを窃取したと主張しています。このデータには、候補者のプロフィールや個人情報のほか、ソースコードやシステム連携に必要な暗号鍵などが含まれているということです。これに対しMercorは、流出したデータの真偽については明言を避けています。同社は「現在調査を進めており、顧客や契約者と直接連絡を取りながら、事態の早期解決に向けて必要な資源を投じる方針です」としています。
情報漏えいの原因について、Mercorは広く利用されているオープンソースのソフトウェア「LiteLLM」へのハッキングによるものだと説明しています。このソフトウェアに、ログイン情報を盗み出す不正なプログラムが約40分間にわたって仕込まれました。窃取された情報が悪用され、連鎖的に他のシステムやアカウントへの不正アクセスを招いたとみられています。
Mercorは、AIモデルを開発する企業の技術的な自立と高度化を支援する事業戦略を掲げており、企業ごとの独自のデータセットや学習プロセスを扱う重要な役割を担っています。報道によりますと、アメリカのIT大手「メタ」は、Mercorとの契約を無期限で停止する措置をとったということです。メタは、Mercorの競合企業に約2兆2165億円(143億ドル)を投じたあとも、Mercorとの取引を継続する方針をとっていました。
一方、「オープンAI」は自社への影響を調査中であるものの、現時点で契約の停止や終了は行っていないとしています。しかし、他の大手開発企業も、今回の情報漏えいを受けてMercorとの取引関係を見直す可能性があるということです。
こうした中、個人情報が流出したとして、Mercorの契約社員ら5人が訴訟を起こしたということです。一部の訴訟では、ソフトウェアの「LiteLLM」や、そのセキュリティ認証に関わった企業「Delve」も被告に名を連ねています。「Delve」をめぐっては、セキュリティ認証に関するデータを偽造した疑いが内部告発によって浮上しており、業界内で波紋を呼んでいます。なお、Mercor自体は「Delve」の顧客ではないということです。
Mercorは情報漏えいが発覚する前、年間の収益が約1550億円(10億ドル)を超えるペースで成長していたとされています。同社は最先端技術の発展を支える中核企業としての地位を確立する方針でしたが、今回の問題による信用低下や契約停止が長期化すれば、今後の収益や成長戦略に深刻な打撃を与える可能性があるということです。