はじめに
OpenAIは、かつて同社のAPIプラットフォームの利用状況を監視するために使用していた第三者分析プロバイダーであるMixpanelにおいて、データ侵害が発生したことを公表しました。このセキュリティインシデントにより、ユーザーの氏名、メールアドレス、OSの詳細、ブラウザのメタデータなど、限定的ではあるものの機密性の高いユーザー情報が流出しました。
OpenAIによると、この事案はMixpanelのインフラ内で発生したものであり、OpenAI自身のシステムに対する攻撃や侵害は一切なかったとのことです。
データ侵害の詳細
Mixpanelは、2025年11月9日に自社環境の一部への不正アクセスを検知し、顧客を特定できる分析データを含むデータセットが攻撃者によってエクスポートされたことを発見しました。Mixpanelはデータ侵害についてOpenAIに通知し、2025年11月25日までに影響を受けた特定のデータセットを共有しました。流出したデータは、platform.openai.comのフロントエンドインターフェースを介したOpenAIのAPI製品のユーザーにのみ関連するものであり、ChatGPTユーザーやその他のOpenAIサービスは影響を受けていません。
OpenAIは、この侵害には、チャット記録、API利用データ、パスワード、認証情報、APIキー、支払い情報、政府発行の身分証明書は含まれていないことを強調しました。
流出したデータの種類
今回のインシデントで流出した可能性のある情報は以下の通りです。
- 氏名: APIアカウントでユーザーが提供した氏名
- メールアドレス: APIアカウントに関連付けられたメールアドレス
- おおよその位置情報: 市区町村、都道府県、国(ブラウザのジオロケーションに基づく)
- オペレーティングシステムとブラウザ: APIアカウントへのアクセスに使用されたOSとブラウザ
- 参照元ウェブサイト: ユーザーをAPIプラットフォームに誘導したURL
- 組織またはユーザーID: APIアカウントに割り当てられたメタデータ
OpenAIは、侵害には個人情報およびシステム情報が含まれるものの、認証情報、パスワード、財務情報などの特に機密性の高いデータは含まれていなかったと明言しました。
OpenAIの対応と今後の措置
Mixpanelからの通知を受け、OpenAIは迅速にMixpanelの分析統合機能をすべての本番サービスから削除し、影響を受けたデータセットの内部レビューを実施しました。同社は、侵害の範囲と影響を完全に評価するためMixpanelと緊密に連携しており、影響を受けたすべての組織、管理者、ユーザーに直接通知しています。さらに、OpenAIはMixpanelの利用を永久に中止することを決定し、ベンダーエコシステム全体でセキュリティレビューを拡大し、今後すべての第三者ベンダーに対するセキュリティ要件を強化しています。
ユーザーへの注意喚起
OpenAIは、影響を受けたユーザーに対し、流出したデータを悪用したフィッシング詐欺やソーシャルエンジニアリング攻撃に引き続き警戒するよう強く求めています。予期せぬメールやメッセージを受け取った場合は、以下の点に注意してください。
- リンクや添付ファイルを含む迷惑な通信には慎重に対応すること。
- OpenAIを名乗るメッセージが正当なものであることを確認するため、送信元のドメインを検証すること。
- OpenAIがメール、テキスト、チャットでパスワード、APIキー、認証コードを尋ねることは決してないことを覚えておくこと。
- アカウントセキュリティを強化するため、多要素認証を有効にすること。
セキュリティ対策の重要性
OpenAIは、透明性とセキュリティへのコミットメントを再確認し、ユーザーの信頼がその使命の基盤であると強調しました。同社は、セキュリティ問題についてオープンに情報共有し、パートナーやベンダーに厳格なセキュリティ基準を課すことを誓約しました。
今回の事案は、第三者サービスプロバイダーがもたらすリスクを再認識させ、ユーザーデータを保護するための継続的なセキュリティレビューと強力なベンダー管理の実践の重要性を浮き彫りにしています。