米OpenAIは11月27日、日本時間にユーザー情報が漏えいした可能性を公表しました。原因はAPIの利用状況分析に使っていた外部ツールMixpanelが不正アクセス被害を受けたためで、OpenAI側のシステムは影響を受けていないとしています。漏えいの可能性があるのは、API用アカウントにひも付く名前やメールアドレス、ブラウザ情報から得られるおおよその位置情報、アクセス時のOSとブラウザ、アカウントにひも付けられたユーザーIDなどです。件数は公表されていません。ChatGPTとのやりとりや認証情報、支払い情報は含まれないと説明しています。
Mixpanelは11月9日に不正アクセスを把握し、顧客情報などが一部取得された可能性を確認。OpenAIに通知し、11月25日に取得された可能性のあるデータを共有しました。OpenAIは対応として本番環境からMixpanelを削除し、影響範囲の特定と、情報が漏えいした可能性がある組織やユーザーへの通知を進めています。ユーザーには、漏えい情報がフィッシング詐欺に悪用される恐れがあるため、注意を呼び掛けています。
実務での対応として、組織はAPIアカウントの権限棚卸しと二要素認証の徹底、異常なログインの監視強化を速やかに実施してください。従業員向けには、不審メールの報告手順とURL確認の徹底を再周知すると効果的です。個人利用者は、OpenAIを名乗るメールやSMSのリンクを踏まず、公式経路からアクセスすること、パスワードの使い回しを避けて二要素認証を有効化することが重要です。確定情報は今後更新され得るため、最新の通知内容に基づき必要な対策を随時見直してください。
