OpenAIは米国時間11月26日、ウェブ分析のために利用していたデータ分析プロバイダーMixpanelが不正アクセスを受け、一部のAPIユーザーの情報が流出した可能性を公表しました。OpenAIのシステム自体は侵害されておらず、ChatGPTなどのサービスに影響はないと説明しています。現時点でチャット内容やAPIリクエスト、API利用データ、パスワード、認証情報、APIキー、支払情報、政府発行の身分証といったセンシティブデータの漏えいは確認されていません。OpenAIは本番環境からMixpanelをすでに削除し、利用を終了したとしています。影響を受けたユーザーには個別に通知を行い、調査を継続中です。
流出の可能性があるとする情報は、APIアカウントの氏名とメールアドレス、ブラウザーに基づくおおよその位置情報とされる都市、州、国の情報、OSとブラウザー、参照元のウェブサイト、APIアカウントにひも付けられた組織IDまたはユーザーIDです。これらは直接的な不正ログインに直結する認証情報ではありませんが、フィッシングやソーシャルエンジニアリングに悪用されるリスクがあります。とくに氏名やメールアドレス、組織IDの組み合わせは、巧妙ななりすましメールの精度を高める可能性があるため、実務担当者は短期的な警戒を強める必要があります。OpenAIは予期しないメールやメッセージ、とりわけリンクや添付ファイルを含むものの取り扱いに注意すること、加えて多要素認証の有効化を推奨しています。
企業の実務対応としては、まず社内周知と訓練の即時実施が重要です。影響通知を受けているかどうかにかかわらず、関連部門に対し当面の期間はOpenAIやパートナーを名乗る連絡の検証プロセスを強化し、正式チャンネルでの再確認を徹底しましょう。
取引先のツール利用に関する可視化と第三者リスク管理の見直しを行い、分析タグやSDKの導入ポリシーを再確認することが、再発防止の観点から有効でしょう。
