メルコアの侵害でどのような種類のデータが流出しましたか？

この侵害では、メルコアのユーザーが所有する政府発行の身分証明書、顔面生体認証データ、および音声生体認証データが流出しました。

攻撃者はどのようにしてメルコアのデータにアクセスしましたか？

攻撃者はメルコアを直接攻撃するのではなく、メルコアや他のAI企業が依存するオープンソースライブラリ「LiteLLM」を標的にしたサプライチェーン攻撃を使用しました。

この攻撃にはどのハッキンググループが関与していますか？

ハッキンググループ「TeamPCP」と「Lapsus$」が関与しているとみられており、Lapsus$は大手テクノロジー企業に対する大規模な侵入事件の記録を持つグループです。

なぜ生体認証データの流出はパスワードやクレジットカード番号の流出よりも危険とされているのですか？

パスワードやクレジットカード番号とは異なり、顔・声・指紋などの生体認証データは変更したり再発行したりすることができないため、一度流出すると永久に侵害された状態になります。

Metaはメルコアの侵害を受けてどのような対応を取りましたか？

メルコアと協力関係にあったMetaは、侵害の報告を受け、同社との提携を一時停止したと伝えられています。

メルコアのデータ侵害で生体認証情報と身分証明書が流出

AIスタートアップ「メルコア」が大規模な生体認証データ侵害に遭う

企業価値100億ドルのAI採用・人材プラットフォームであるメルコアが深刻なデータ侵害に遭い、想像し得る中でも最も機密性の高い個人情報が流出した。流出したのは、ユーザーの政府発行身分証明書、顔面生体認証データ、および音声生体認証データである。この侵害が広く注目を集めているのは、盗まれたデータの性質だけでなく、その手口と被害を受けた個人への影響の可能性によるところも大きい。

この事件は、開発者が大規模言語モデルをアプリケーションに統合するために広く使用されているオープンソースライブラリ「LiteLLM」を標的にしたサプライチェーン攻撃と関連している。これほど根幹的な依存ライブラリが侵害されると、それを利用する数十から数百もの企業に被害が波及する可能性がある。今回の場合、メルコアもその被害者の一つとみられている。ハッキンググループ「TeamPCP」と「Lapsus$」が本攻撃への関与を疑われており、Lapsus$は大手テクノロジー企業に対する大規模な侵入事件を繰り返してきた記録を持つグループである。

メルコアと協力関係にあったMetaは、この侵害の報告を受け、提携を一時停止したと伝えられている。

生体認証データの侵害が特に危険な理由

データ侵害はすべてが同じリスクを持つわけではない。パスワードが盗まれた場合は変更できる。クレジットカード番号が流出した場合は銀行が新しいものを発行できる。しかし生体認証データは異なる。顔、声、指紋は再発行することができない。一度そのデータが外部に出てしまえば、永久に取り戻すことはできない。

これこそが、メルコアの侵害が特に深刻である理由だ。顔面生体認証データと政府発行の身分証明書が組み合わさることで、悪意ある者に対して身元詐欺のための非常に強力なツールセットを与えることになる。具体的には、AIによって生成された合成メディアを使って実在の人物になりすます「ディープフェイク詐欺」に理想的な条件を生み出す。攻撃者は盗んだ顔画像や音声録音を使って本人確認を突破したり、不正な金融口座を開設したり、ビデオ通話や面接で個人になりすましたりする可能性がある。

ディープフェイク技術は急速に進化しており、説得力のある合成メディアを作成するための障壁は大幅に下がっている。実在の人物の生体認証データのような高品質な素材が入手できれば、その結果はさらに説得力を増し、検出が困難になる。

この侵害の中心にあるサプライチェーンの脆弱性

この事件において最も重要な側面の一つは、攻撃ベクターがサプライチェーンの侵害であったという点だ。脅威アクターはメルコアを直接攻撃するのではなく、メルコアをはじめ多くのAI企業が依存するライブラリ「LiteLLM」を標的にした。これは確立された、そして増加しつつある攻撃戦略である。

サプライチェーン攻撃は信頼を悪用するため、防御が困難だ。企業がオープンソースライブラリを統合する際、そのコードが安全であると本質的に信頼している。ライブラリレベルで悪意あるコードを注入することで、アップデートを取り込んだ企業が意図せずバックドアやデータ収集コンポーネントをインストールしてしまう可能性がある。

この侵害は、組織のセキュリティ態勢がソフトウェア依存関係の中で最も弱いリンクの強さにしか及ばないということを改めて示している。ユーザーにとっては、実際にデータを提供した企業から数層離れたところで行われた意思決定によって、自分のデータが危険にさらされる可能性があることを浮き彫りにしている。

あなたへの影響

メルコアのプラットフォームを利用し、本人確認書類を提出したり、生体認証データの収集に参加したりしたことがある場合は、自分のID情報が侵害された可能性があるものとして扱うべきだ。今すぐ実行できることを以下に示す。

なりすまし詐欺を監視する。 銀行や金融機関でアラートを設定し、信用情報に不審な動きがないか確認する。
ビデオベースの本人確認には慎重を期す。 ビデオ認証の場面で誰かがあなたになりすまそうとする場合、ディープフェイクツールを使えばその主張を偽造することが以前より容易になっている。
一方的な連絡には疑いの目を向ける。 あなたのID情報を持つ詐欺師は、あなたに関する詳細情報をすでに知っているため、異常に巧妙に見えるフィッシング攻撃を試みる可能性がある。
今後は生体認証データの共有を制限する。 顔スキャン、音声録音、政府発行の身分証明書を提供するサービスを慎重に選ぶ。そのサービスが本当にそのレベルのデータを必要としているか確認する。
あらゆる場所で強固で固有の認証情報を使用する。 パスワードだけでは生体認証データを保護できないが、全体的な攻撃対象領域を縮小することは常に有益だ。
通信を暗号化する。 サービスへの接続時、特に公共または信頼できないネットワーク上ではVPNを使用することで、追加的なデータ傍受のリスクを軽減できる。

メルコアの侵害は、高度に機密性の高い生体認証データを一元管理することがいかに集中的なリスクをもたらすかを明確に示している。一つの企業が多数の人々の顔スキャン、声紋、身分証明書を保有している場合、一度の攻撃が成功するだけで、何年にもわたる影響をもたらしかねない。

利用しているサービスに影響するデータ侵害について常に情報を把握し、どのプラットフォームにどのようなデータを共有しているかを理解し、デジタルアイデンティティに対して積極的なアプローチを取ることが、最も実践的な対策のひとつだ。データ侵害はなくならないが、自分の最も機密性の高い情報がどこにあるかをより深く理解すればするほど、何か問題が発生した際の対応力が高まる。

AIスタートアップ「メルコア」が大規模な生体認証データ侵害に遭う

生体認証データの侵害が特に危険な理由

この侵害の中心にあるサプライチェーンの脆弱性

あなたへの影響

// よくある質問

// 関連記事