AI採用ユニコーンMercor、サイバー攻撃の渦中に
TechCrunchの報道によると、注目を集めるAI採用スタートアップのMercorが最近、深刻なサイバー攻撃を受けたことを確認した。この事件は、ランサムウェアハッカー集団を自称する組織が公に犯行声明を出したもので、彼らはオープンソースプロジェクトLiteLLMを侵害することで、Mercorのシステムから機密データの窃取に成功したと主張している。事件が明るみに出た後、Mercorは迅速に対応し、セキュリティインシデントの存在を認め、内部調査を開始した。
TechCrunch原文摘要:The AI recruiting startup confirmed a security incident after an extortion hacking crew took credit for stealing data from the company's systems.
AI駆動の採用プラットフォームとして、Mercorは先進的な大規模言語モデル(LLM)を活用し、履歴書のスクリーニングや面接評価などのプロセスを自動化し、企業が効率的に人材をマッチングできるよう支援している。同社は2023年に設立され、急速に数億ドルの評価額を持つユニコーンに成長し、顧客にはシリコンバレーの大手企業が複数含まれている。しかし、今回の攻撃は同社の評判を脅かすだけでなく、大量の求職者の個人情報が漏洩する可能性があり、プライバシーへの懸念を引き起こしている。
Mercorの企業背景とビジネスモデル
Mercorのコア競争力は、GPTシリーズやClaudeなど複数のLLMモデルを統合したAI採用エンジンにあり、数百万件の履歴書のインテリジェント解析を実現している。同社は、そのアルゴリズムの精度が95%に達し、従来の人事ツールをはるかに上回ると主張している。Mercorの顧客層は技術、金融、医療などの分野にわたり、年間処理する履歴書数は1000万件を超える。
AIブームの中で、採用業界はデジタルトランスフォーメーションを加速させている。Statistaのデータによると、2025年の世界のAI採用市場規模は150億ドルに達すると予測されている。Mercorの成功はオープンソースエコシステムの支援によるものだが、同時に隠れた危険も潜んでいた。今回の事件は、AIスタートアップがスピードを追求する一方で、セキュリティ対策が遅れがちであることを浮き彫りにしている。
LiteLLMオープンソースプロジェクト:AI開発者の必須ツール
LiteLLMは、BerriAIチームによって管理される人気の高いオープンソースPythonライブラリで、主にOpenAI、Anthropic、Googleなど複数のLLMプロバイダーのAPIインターフェースを統一的に呼び出すために使用される。これにより、開発者のマルチモデル環境での統合が簡素化され、プロキシモードとロードバランシングをサポートしている。現在までに、LiteLLMはGitHubで10万以上のスターを獲得し、毎月数百万回ダウンロードされている。
攻撃者はLiteLLMのサプライチェーン脆弱性を利用したとされ、悪意のある依存パッケージやコードインジェクションを通じて侵入した可能性がある。オープンソースソフトウェアのサプライチェーン攻撃は近年頻発しており、2024年のxz-utilsバックドア事件やLog4Shell脆弱性などがある。これらの攻撃は隠蔽性が高く、開発者のサードパーティライブラリへの信頼を利用して、企業システムに静かに浸透する。LiteLLMのヘビーユーザーであるMercorは、その本番環境が直接リスクにさらされていた。
攻撃の詳細とMercorの緊急対応
ハッカー集団はダークウェブフォーラムでスクリーンショットを公開し、ユーザーのメールアドレス、給与期待値、面接記録を含む窃取されたデータベースの断片を示した。彼らはMercorに身代金の支払いを要求し、さもなければ全データを公開すると脅迫している。Mercorは4月1日に公式ブログで声明を発表した:「私たちはセキュリティインシデントを確認し、影響を受けたシステムを隔離し、第三者セキュリティ会社を雇用してフォレンジック調査を行っています。ユーザーデータのセキュリティが最優先であり、現時点でコアモデルが損なわれた証拠はありません。」
同社は同時に影響を受けたユーザーにパスワードの変更を通知し、補償措置を約束した。初期評価では、漏洩したデータは数万人の求職者に関わるものの、支払い情報には及んでいないことが示されている。MercorのCEOは、コードレビューを強化し、LiteLLMのセキュリティパッチに貢献すると表明した。
業界への影響:AIサプライチェーンセキュリティへの警鐘
今回の事件は孤立したケースではない。2024年には、Stability AIやHugging Faceなど複数のAI企業がオープンソース依存関係攻撃を報告している。AIエコシステムはオープンソースに高度に依存しており、サプライチェーンリスクは指数関数的に拡大している。Gartnerの予測によると、2027年までにソフトウェア障害の80%がサプライチェーン問題に起因するという。
編集者注:オープンソースはAIイノベーションの礎だが、セキュリティ監査メカニズムの改善が急務である。開発者はSBOM(ソフトウェア部品表)とSigstore署名検証を採用すべきである。企業はゼロトラストアーキテクチャを実装し、定期的に依存関係をスキャンする必要がある。Mercor事件はAI従事者に、技術の飛躍はセキュリティを犠牲にしてはならないことを思い出させる。将来的には、専用LLMサンドボックスなど、よりAI専用のセキュリティツールが登場することが予想される。
より広い視点から見ると、今回の攻撃は、ランサムウェア集団が高価値のAIターゲットに転向していることを示唆している可能性がある。規制面では、米国CISAはすでにオープンソース財団に対応速度の向上を呼びかけている。Mercorの迅速な開示は評価に値するが、データ漏洩の長期的な影響はまだ観察が必要である。
防止策と今後の展望
同様のリスクを回避するため、AI企業はOWASP Top 10を参照し、インジェクションと依存関係の脆弱性を優先的に修正することができる。LiteLLMのメンテナーはすでに緊急アップデートをリリースしており、ユーザーは直ちにアップグレードすべきである。同時に、業界はAIセキュリティアライアンスの設立を呼びかけ、脅威情報を共有している。
Mercor事件は挫折ではあるが、同社にセキュリティ遺伝子を注入する機会でもある。強力な技術基盤を持つ同社は、回復する可能性が高い。AI採用市場の潜在力は巨大であり、セキュリティコンプライアンスが新たな競争領域となるだろう。
本記事はTechCrunchから編集、著者Jagmeet Singh、原文日付2026-04-01。
© 2026 Winzheng.com 赢政天下 | 转载请注明来源并附原文链接