オープンAIユーザー情報漏洩……Mixpanelによるハッカー攻撃でAPIアカウントが露出

ChatGPT開発者OpenAIはユーザーアカウント情報の漏洩に関するセキュリティ事故に直面しています。この漏洩はデータ分析プラットフォームMixpanelで発生したハッカー事件に起因しており、ハッカーが内部システムに成功裏に侵入し、一部のOpenAI APIユーザーの個人情報を取得したことが確認されています。

OpenAIは公式ブログを通じて声明を正式に発表し、Mixpanelが11月8日に初めてハッカー攻撃を検出した後、数日以内に関連データを取得したことを明らかにしました。今回の事件では、ハッカーがSMSフィッシング手法を使用してMixpanelシステムの権限を盗み、一部のOpenAI APIユーザーのアカウント関連データが流出しました。

確認された漏洩情報にはユーザーの名前、メールアドレス、居住地などが含まれており、さらにAPIを実行しているオペレーティングシステム情報やブラウザの種類などの技術的詳細も含まれています。しかし、支払い情報やAPIに入力されたプロンプトなどの機密データは今回の事件で流出していないとのことです。

OpenAIは事発後、直ちにMixpanelとのデータ接続を全面的に中止し、影響を受けたユーザーに通知を順次送信しています。会社の関係者は、盗まれた情報が今後のフィッシング攻撃に使用される可能性があると警告していますが、現在のところパスワードや認証キーをリセットする必要はないと述べています。

セキュリティ専門家は、今回の事件がデータ分析ツールも同様にセキュリティの脅威に直面していることを警告している。APIセキュリティ専門機関APIContextのCEOであるマユール・ウパディアヤは、「可視性が欠如していれば、どんな脆弱性も防ぐことはできない」と指摘し、監視システムとサプライチェーンのセキュリティ規範を整備する必要性を強調した。

Mixpanelは現在、被害を受けた顧客のアカウントを凍結し、全社員にパスワードのリセットを強制し、ハッカーが使用したIPアドレスを全面的に禁止したと発表しています。しかし、OpenAIを除いて他に影響を受けた顧客は確認されていません。Mixpanelが世界中の29,000以上のテクノロジー企業にサービスを提供している状況を考えると、業界はその影響が広範に及ぶ可能性を懸念しています。

今回の事件は、大型生成AI企業に対するセキュリティの脅威が現実に照らされていることを再度浮き彫りにしました。OpenAIやその競合他社が多層的な防御体制を構築し、技術的な保障メカニズムを強化し続けているにもかかわらず、関連システムの脆弱性を利用した第三者の侵入リスクは常に存在します。