2025年11月9日、OpenAIは、データ分析ツールを提供するMixpanel社のシステムに対する不正アクセスにより、一部の顧客情報と利用データが流出したと発表しました。この件に関しては、Mixpanel社が11月9日に異常を検知し、OpenAIには11月25日に影響を受けたデータの詳細が共有されました。
- Mixpanelのシステムが不正アクセスを受け、一部のAPIユーザーに関する情報が流出した。
- 氏名やメールアドレス、位置情報など、個人を特定しうる情報が含まれていた。
- OpenAIはMixpanelの使用を即時中止し、全パートナー企業に対するセキュリティ監査を強化中。
流出したとされる情報には、OpenAIのAPIを利用していたユーザーの氏名、メールアドレス、OSやブラウザ情報、アクセス元のウェブサイト、組織ID・ユーザーID、そして利用時の大まかな位置情報(市区町村レベル)が含まれていた。
なお、OpenAI側のシステムやデータには影響がなかったとされ、現時点での情報ではMixpanelの環境内に限定された被害であると報告されている。
OpenAIはこのインシデントを受け、Mixpanelとの契約を即時終了。すべてのベンダーやパートナー企業に対してセキュリティ基準の見直しと強化を進めているそうです。さらに、影響を受けたと見られるユーザーや組織に対しては個別に通知が行われているとのこと。
今回のような情報流出では、フィッシングやソーシャルエンジニアリングといった手法で、ユーザーや組織がさらなる攻撃を受けるリスクがある。
OpenAIはユーザーに対して以下の点に注意するよう呼びかけている:
- 思いがけないメールやメッセージは慎重に扱うこと(特にリンクや添付ファイル付きのもの)
- OpenAIからのメールであっても、送信元ドメインが正規のものかを必ず確認すること
- OpenAIはパスワード、APIキー、認証コードなどをメールやチャットで求めることはありません
- アカウントをさらに保護するため、二要素認証(MFA)の有効化を推奨
セキュリティとプライバシーはOpenAIの根幹にある価値だそうで、今回の件も透明性を重視して早期に公表されたとのこと。
コメントを残す