はじめに:Mixpanel経由でのOpenAI API顧客データ漏洩
OpenAIは、第三者の分析プロバイダーであるMixpanel社のデータ侵害により、一部のChatGPT API顧客の個人識別情報が限定的に公開されたことを通知しています。このインシデントは、Mixpanelがフロントエンドインターフェースのユーザーインタラクション追跡に利用されていることに起因します。
漏洩した情報と影響範囲
OpenAIによると、今回のサイバーインシデントは「一部のAPIユーザーに関連する限定的な分析データ」に影響を与えましたが、ChatGPTやその他の製品のユーザーには影響がありませんでした。
漏洩が確認された情報:
- APIアカウントに提供された氏名
- APIアカウントに関連付けられたメールアドレス
- APIユーザーのブラウザに基づくおおよその大まかな位置情報(都市、州、国)
- APIアカウントへのアクセスに使用されたオペレーティングシステムとブラウザ
- 参照元ウェブサイト
- APIアカウントに関連付けられた組織またはユーザーID
一方で、OpenAIは「これはOpenAIのシステムへの侵害ではありません。チャット、APIリクエスト、API利用データ、パスワード、資格情報、APIキー、支払い詳細、政府発行IDは一切侵害または公開されていません」と明言しています。機密性の高い資格情報は漏洩していないため、ユーザーはパスワードのリセットやAPIキーの再生成を行う必要はありません。
侵害の原因とOpenAIの対応
Mixpanel社が報告したところによると、この攻撃は11月8日に同社が検知したスミッシング(SMSフィッシング)キャンペーンに端を発しています。OpenAIは、Mixpanel社の進行中の調査結果を受け、11月25日に影響を受けたデータセットの詳細を受け取りました。
OpenAIは予防措置として、Mixpanel社をその生産サービスから削除し、組織、管理者、個々のユーザーに直接通知を行っています。APIユーザーのみが影響を受けたことを強調しつつも、同社はすべての加入者に通知しました。
ユーザーへの推奨事項とMixpanelの対策
漏洩したデータはフィッシングやソーシャルエンジニアリング攻撃に悪用される可能性があるため、OpenAIはユーザーに対し、以下のような注意喚起を行っています。
- 今回のインシデントに関連する、もっともらしい悪意のあるメッセージに注意する。
- リンクや添付ファイルを含むメッセージは、公式のOpenAIドメインからのものであることを確認する。
- 二要素認証(2FA)を有効にする。
- パスワード、APIキー、確認コードを含む機密情報を、メール、テキスト、チャットを通じて決して送信しない。
Mixpanel社のCEOであるJen Taylor氏は、影響を受けた顧客すべてに直接連絡済みであると述べ、「当社から連絡がない場合は、影響を受けていません」と付け加えています。Mixpanel社は、攻撃への対応として、影響を受けたアカウントのセキュリティを確保し、アクティブなセッションとサインインを失効させ、侵害された資格情報をローテーションし、脅威アクターのIPアドレスをブロックし、全従業員のパスワードをリセットしました。また、今後同様のインシデントを防ぐための新しい管理策も導入しています。