オープンソースの「信頼」が崩れた日

毎日 200万ドル（約3億円）の報酬を支払い、OpenAI や Anthropic のAIモデル訓練を支える——。そんなスタートアップが、自社では書いた覚えのないコードによって危機に陥った。

何が起きたのか

AIリクルーティング企業 Mercor は2026年4月、セキュリティインシデントが発生したことを認めた。原因は、自社サービスが利用していたオープンソースライブラリ LiteLLM への不正コード埋め込みだ。このサプライチェーン攻撃は、TeamPCP と呼ばれるハッキンググループによるものとされ、Mercor は「影響を受けた数千社のうちの一社」と説明している。

事態をさらに複雑にしたのは、悪名高い恐喝グループ Lapsus$ の登場だ。同グループは自らのリークサイトで Mercor のデータを入手したと主張し、Slackのデータやチケット管理システムのデータとみられるサンプル、さらには同社のAIシステムと契約者の会話とされる動画2本を公開した。TechCrunch がこのサンプルを確認している。

Mercor の広報担当Heidi Hagberg氏は「迅速に封じ込めと修復を行った」と述べ、第三者のフォレンジック専門家による調査を進めていると説明した。一方で、Lapsus$ との関連性や顧客・契約者データへのアクセスの有無については回答を避けた。

LiteLLM 側では、悪意あるコードは発見後数時間以内に削除されたが、このライブラリは1日に数百万回ダウンロードされるほど広く使われており、セキュリティ企業 Snyk も広範な影響を指摘している。

なぜ今、これが重要なのか

広告

広告掲載について

[email protected]

広告

Mercor は2023年創業ながら、2025年10月に Felicis Ventures 主導のシリーズCで 3億5000万ドル（約520億円）を調達し、企業価値は 100億ドル（約1兆5000億円）に達している。インド市場などから医師・弁護士・科学者といった専門家を集め、AIモデルの訓練データ生成を担うというビジネスモデルは、生成AIブームの中核を担う存在だ。

その Mercor が今回の被害を受けたという事実は、単なる一企業のセキュリティ問題ではない。オープンソースへの依存が、AI産業全体のアキレス腱になりつつあるという現実を突きつけている。

LiteLLM はGPT-4やClaude、Geminiなど複数のLLM（大規模言語モデル）を統一的なAPIで呼び出せるライブラリで、スタートアップから大企業まで幅広く採用されている。今回のような攻撃が成功すれば、一つの脆弱性が「数千社」に連鎖する——これがサプライチェーン攻撃の本質的な恐ろしさだ。

日本企業への影響という観点でも、看過できない。ソニー や 富士通、あるいは国内の多くのAIスタートアップが、こうしたオープンソースLLMライブラリを業務に組み込んでいる可能性は十分にある。日本はサイバー攻撃への対応力強化を国家戦略として掲げているが、サプライチェーン経由の侵害は、自社のセキュリティ対策だけでは防ぎきれない性質を持つ。

異なる視点から読む

企業の立場から見れば、今回の事件は「使っているツールのセキュリティ状態を把握しているか」という根本的な問いを突きつける。Software Bill of Materials（SBOM）——利用しているソフトウェアコンポーネントの一覧管理——の重要性は以前から指摘されてきたが、実装が追いついていない企業は多い。

オープンソースコミュニティの視点では、LiteLLM のような小規模チームが維持するプロジェクトが、世界中の企業インフラを支えているという構造的な問題がある。LiteLLM は今回の事件を受け、コンプライアンス認証を Delve から Vanta に切り替えるなど対応を進めているが、リソースの限られたオープンソースプロジェクトに過度な責任を求めることへの疑問も残る。

一方、Lapsus$ という存在に注目すると、このグループは2021年から Microsoft、Nvidia、Samsung など大手企業への攻撃で知られる。今回のように、別グループ（TeamPCP）が実行した攻撃で流出したデータを入手・恐喝に利用するという手法は、サイバー犯罪の「分業化」が進んでいることを示している。

さらに文化的な文脈として、Mercor のビジネスモデルはインドの専門職人材をAI訓練に活用するものだ。今回の漏洩データに「AIシステムと契約者の会話動画」が含まれていたとすれば、個人情報保護の観点から、インドや日本など各国の規制当局が関心を持つ可能性もある。