分析大手Mixpanelでデータ侵害が発生
米国の感謝祭休暇を目前に控え、分析サービスの巨人Mixpanelがサイバーセキュリティインシデントを発表しました。しかし、その発表は「簡素なブログ投稿」に留まり、データ侵害の詳細については多くの疑問が残されています。Mixpanelのジェン・テイラーCEOは、TechCrunchからの複数回にわたる問い合わせにも応じず、被害の規模、影響を受けた顧客数、ハッカーとの接触、多要素認証(MFA)の導入状況など、重要な情報提供を避けました。
このインシデントは11月8日に検知され、同社は「不正アクセスの排除」に向けた一連のセキュリティ対策を講じたと述べていますが、その透明性の欠如は各方面で批判を浴びています。
OpenAIも被害に、開発者情報が流出
Mixpanelの顧客であるOpenAIもこのデータ侵害の被害に遭っていたことが、Mixpanelの発表から2日後にOpenAI自身のブログ投稿によって明らかになりました。OpenAIはMixpanelのソフトウェアを利用し、開発者向けドキュメントなど、ユーザーがウェブサイトの特定の領域とどのようにやり取りするかを分析していました。
OpenAIによると、流出したデータには、ユーザーの氏名、メールアドレス、IPアドレスに基づく概算の位置情報(都市と州)、オペレーティングシステムやブラウザのバージョンなどのデバイスデータが含まれていました。ただし、Android広告IDやAppleのIDFAなどの識別子は含まれておらず、ChatGPTユーザーへの直接的な影響はないとのことです。OpenAIは今回の件を受け、Mixpanelの利用を停止しました。
Mixpanelのデータ収集の実態と潜在的リスク
Mixpanelは、アプリ開発やマーケティング業界では広く知られたウェブおよびモバイル分析会社であり、8,000社もの企業顧客を抱えています。同社のビジネスモデルは、ユーザーの「タップ、クリック、画面操作」といった膨大な量の行動データを収集することにあります。ウェブサイトやアプリにMixpanelのコードを埋め込むことで、顧客企業はユーザーの行動を詳細に把握できるようになります。
- ユーザーのアクティビティ(アプリの起動、リンクのタップ、ログインなど)
- デバイスの種類(iPhone、Androidなど)
- 画面の幅と高さ
- ネットワーク情報(Wi-Fi、携帯回線)
- ログインユーザーの一意な識別子
- イベントの正確なタイムスタンプ
しかし、こうしたデータ収集には潜在的なリスクが伴います。Mixpanelは過去に、2018年には分析コードが意図せずユーザーのパスワードを収集していたことを認めています。また、個人を特定できないよう匿名化されたデータであっても、手法によっては実世界の個人を特定する目的で逆利用される可能性があり、デバイスデータを使った「フィンガープリンティング」は、ユーザーのアプリやウェブサイト間での追跡を可能にします。
さらに、Mixpanelが提供する「セッションリプレイ」(ユーザーのアプリやウェブサイトでのインタラクションを視覚的に再構築する機能)も、機密情報を誤って収集してしまう可能性があります。Mixpanel自身も過去に、セッションリプレイが記録すべきでない機密情報を含んでしまう場合があることを認めており、Appleは2019年に画面記録コードを使用するアプリに対して規制を強化しました。
データ分析業界全体への警鐘
今回のMixpanelのデータ侵害は、データ分析業界全体に大きな警鐘を鳴らすものです。これらの企業は、ユーザーの行動に関する莫大な情報を収集・保管しており、それが悪意あるハッカーの主要な標的となり得ることが改めて浮き彫りになりました。今回の事件がどれほどの規模で、何人の人々に影響を及ぼしたのか、具体的な情報はまだ不足していますが、このような企業が扱うデータの量と機微性を考えると、そのセキュリティ対策にはこれまで以上の厳格な対応が求められるでしょう。