Mercor社から4万人のAI請負業者の音声サンプル4TB流出
原題: 4TB of voice samples just stolen from 40k AI contractors at Mercor
なぜ重要か
音声クローニング技術の進歩により、短時間の音声と身分証明書だけで高精度な偽装が可能になり、AI業界のデータセキュリティ対策の重要性が浮き彫りになった。
2026年4月4日、ハッカーグループLapsus$がAI企業Mercorから4TBの音声データを盗み取ったと発表。約4万人の請負業者の音声録音と政府発行身分証明書のスキャンが含まれ、音声クローン作成に悪用される恐れ。10日間で5件の集団訴訟が提起された。
エクストーショングループLapsus$が2026年4月4日、AI企業Mercorのリークサイトに約4TBのデータダンプを投稿した。流出したデータには、データラベリング、読み上げ録音、AI訓練用の検証通話を行う4万人以上の請負業者の音声生体認証データと政府発行身分証明書が含まれている。Mercorの請負業者登録プロセスでは、パスポートまたは運転免許証のスキャン、ウェブカメラでの自撮り、静かな室内でスクリプトを読み上げる音声録音が要求されていた。この一連のデータが一つのデータベースに保存されており、合成音声クローニングサービスに必要な入力データそのものとなっている。Wall Street Journalは2026年2月、高品質音声クローニングには約15秒のクリーンな参照音声があれば十分と報じていたが、Mercorの録音は平均2〜5分のスタジオ品質の音声となっている。攻撃者は銀行の音声認証システム迎合、被害者の雇用主への偽装電話、ディープフェイク動画通話、保険金詐欺などに悪用可能。流出から10日以内に5件の集団訴訟が提起され、原告らは同社が「訓練データ」という名目で音声紋を収集したが、それが恒久的な生体認証識別子でもあることを明確にしなかったと主張している。