Malwarebytesは2月7日(米国時間)、「20 Million OpenAI accounts offered for sale|Malwarebytes」において、2,000万件のOpenAIアカウントが売りに出されたと報じた。
-
20 Million OpenAI accounts offered for sale|Malwarebytes
OpenAIが侵害された可能性
OpenAIアカウントの販売は、ダークWebの情報流出フォーラムへの投稿で明らかになった。Malwarebytesによると、「emirking」と名乗る脅威アクターはロシア語で次のように述べ、希望者に連絡するよう求めたという。
OpenAIがアカウントをまとめて検証する必要があるかもしれないと気づいたとき、自分のパスワードを隠したままではいられないと分かりました。私は2,000万以上のOpenAIアカウントのアクセスコードを持っています。ご希望であれば私に連絡してください。これは宝物です。
-
脅威アクターのフォーラムへの投稿 引用:Malwarebytes
攻撃者はサンプルも複数投稿しており、真実の可能性がある。本当に2,000万件のアクセスコードを収集したのであれば、ユーザーから個別に窃取したとは考え難く、OpenAIを直接または間接的に侵害して窃取した可能性がある。
影響と対策
被害の範囲と流出元がわからないことから、誰のアカウント情報が流出したのか、今後も流出する可能性があるのかはわからない。そのため、すべてのOpenAIユーザーには次の対策の実施が推奨されている。
- パスワードを変更する
- 多要素認証(MFA: Multi-Factor Authentication)を有効にする
- 不審な活動や不正使用がないかどうか監視する
- 流出した会話の内容や個人情報などが今後フィッシング詐欺に使用される可能性があるため注意する
なお、情報流出フォーラムの他ユーザーの投稿によると、公開されたアクセスコードからは会話の内容を閲覧できなかったという。これが真実であれば1つの安心材料となるが、この投稿は裏を返すと不正アクセス自体は可能だったことを意味する。不正アクセス可能な状態を放置すると有料サービスの不正利用などの可能性があり、すべてのOpenAIユーザーには上記の対策を速やかに実施することが望まれている。
Microsoft、7月更新プログラム公開 - 130件の脆弱性を修正
