TeamPCP関連ハッカーが「Mistral AIのリポジトリを販売」と主張――分かっていることと未確認の点

最近、ハッカー集団 TeamPCP に関連するとされるフォーラムアカウントが、「Mistral AIの内部リポジトリを2万5,000ドルで販売する」と主張しているという報道が出ています。ただし、この主張は現時点で確認されていない情報であり、実際にMistral AIの内部システムからコードが流出した証拠は公開されていません。

以下では、報じられている内容と、公式に確認されている事実を分けて整理します。

報じられている「リポジトリ販売」の内容

報道によると、TeamPCPに関連するフォーラムアカウントが以下のような内容を掲載したとされています。

• 価格：25,000ドルでMistral AIの内部リポジトリを販売
• 約5GBのファイルを含むと説明
• AIのトレーニングや推論プロジェクト関連のリポジトリとされる

ただし、提示されたのは「リポジトリ」という説明だけで、次のような重要データが含まれると確認されたわけではありません。

• モデルの重み（model weights）
• 顧客データ
• 本番環境の秘密情報
• 完全なソースコードのダンプ

また、公開されたサンプルや暗号学的な検証など、真正性を裏付ける証拠は示されていません 。

背景：Mini Shai‑Huludサプライチェーン攻撃

この主張が注目されている理由は、2026年5月に発覚した大規模なソフトウェアサプライチェーン攻撃の直後に出てきたためです。

「Mini Shai‑Hulud」と呼ばれるこの攻撃では、npmとPyPIのエコシステムで170以上のパッケージが改ざんされました。影響を受けたプロジェクトには以下が含まれます。

• TanStack
• Mistral AI
• UiPath
• OpenSearch
• Guardrails AI

攻撃者は開発パッケージにマルウェアを仕込み、クラウド認証情報やGitHubトークンなどの開発者シークレットを盗む仕組みを仕込んでいたとされています。

このキャンペーンはTeamPCPによるものと広く報じられています 。

Mistral AIの公式説明

フランス・パリに本社を置くAI企業 Mistral AI は、公式セキュリティアドバイザリで次のように説明しています。