Mercorデータ漏洩:4TBの音声サンプルとIDが盗難 – 攻撃者が今できること

2026年4月4日、恐喝グループLapsus$がリークサイトにMercorを公開した。データ量は約4テラバイトで、AIトレーニング用にデータラベリング、朗読録音、認証電話を行った4万人以上の契約者から、音声生体情報と政府発行身分証明書がセットで流出している。
このインシデントが特別な理由
これまでの音声リークは、IDとの紐づけが容易でないコールセンター録音か、音声のないID文書リークのいずれかだった。Mercorは両者を結合した。契約者のオンボーディングでは、パスポートや運転免許証のスキャン、ウェブカメラでの自撮り、その後スクリプトを読み上げる音声録音が求められた。この一連の流れは、合成音声クローン作成サービスが入力として必要とするものと完全に一致する。高品質な音声クローン作成には現在、約15秒のクリーンな参照音声が必要だが、Mercorの録音は契約者1人あたり2~5分のスタジオ品質の音声と、確認済みIDがセットになっている。
攻撃者ができること
これらの脅威モデルはすでに実環境で確認されている:
- 銀行認証の回避:米英の複数の銀行は、2要素認証の一つとして声紋を使用。クローンがチャレンジフレーズを読み上げると音声ゲートを通過でき、残る知識質問も同じ流出データセットから回答可能。
- 被害者の勤務先へのビッシング:従業員になりすまして人事や経理に電話し、給与振込先変更、送金依頼、ワークステーションのロック解除を要求。Krebs on Securityは2023年以降、20件以上の確認事例を報告。
- ディープフェイクビデオ通話(Arup型):2024年、Arupの経理担当者が公開映像から作成された複数人のディープフェイクビデオ通話により約2500万ドルを送金。Mercorのリークはスタジオ音声と確認済みIDを提供。
- 保険金詐欺:Pindropは2025年、保険コールセンターへの合成音声攻撃が前年比475%増加したと報告。
- ロマンス詐欺と祖父母詐欺:FBI IC3は2026年、60歳以上の被害者が23億ドルの損失を報告。最も急増したカテゴリは緊急なりすまし電話。
自分の音声が悪用されているか確認する方法
2025年までにMercorやAIトレーニング仲介業者に音声サンプルをアップロードした場合、音声を流出したパスワードのように扱うこと。音声そのものは変更できないが、それが開錠するものを変更することはできる:
- 自分の公開音声フットプリントを自己監査する:YouTube、ポッドキャストディレクトリ、古いZoom録音から自分の音声サンプルを検索し、可能なものは削除する。
📖 全文はこちら: HN AI Agents
👀 See Also

41万3000回のAIエージェント実行分析から、成功の要因が明らかに
CoderForge-Previewデータセットの413,278回のAIソフトウェアエンジニアリングエージェント実行の分析によると、人間のソフトウェアエンジニアリングのベストプラクティスは、しばしばエージェントのパフォーマンスを損なうことが示されています。データは、同じ問題に対する成功実行と失敗実行を分ける特定のパターンを明らかにしています。

Claude Code v2.1.152: /code-review --fix、プラグイン disallowed-tools、MessageDisplay フック
Claude Code v2.1.152では、/code-review --fixによるワーキングツリーへの修正適用、/reload-skills、MessageDisplayフック、プラグインのフロントマターでのdisallowed-tools設定が可能になりました。また、長時間セッションでのスタイル劣化、MCPの重複排除、キャッシュレポートのバグ修正も含まれています。

MetaのMCIツール、AIトレーニングのために従業員のやり取りを記録
Metaは、米国従業員のコンピューターに「Model Capability Initiative(MCI)」と呼ばれる追跡ソフトウェアを導入し、マウスの動き、キーストローク、クリック、および時折の画面スナップショットをAIモデルトレーニング用に収集しています。このデータは、ドロップダウンメニューからの選択やキーボードショートカットの使用など、人間のコンピューター操作をAIが再現する能力を向上させることを目的としています。

構造化ワークフローがAI DESベンチマークで計画モードとスーパーパワーを凌駕
OuroborosワークフローがAI支援離散イベントシミュレーションベンチマークで1位を獲得。Claudeのプランモードやfat-skillスーパーパワーアプローチを上回り、構造化された明確化→計画→実行→評価→回復→反復のサイクルを活用。