OpenAIは11月26日(米国時間)、「What to know about a recent Mixpanel security incident | OpenAI」において、データ分析プロバイダー「Mixpanel」への不正アクセスの影響から、同社の一部ユーザーのプロファイル情報が漏洩したと発表した。
不正アクセスはMixpanelのシステム内で発生しており、OpenAIのシステムは侵害されていないことを強調している。しかしながら、APIを利用している一部ユーザーの限定的な分析データが影響を受けたという。
-
What to know about a recent Mixpanel security incident | OpenAI
インシデントの概要
Mixpanelの不正アクセスは11月9日に発生したとされる。攻撃者は同社のシステムの一部に不正アクセスし、一部顧客の識別情報と分析情報を含むデータセットを窃取したという。
侵害を認識した同社はOpenAIへ調査中であることを通知し、11月25日に影響を受けたデータセットを提供。データセットには「platform.openai.com(OpenAI API)」のユーザープロファイル情報が含まれる可能性があるとのこと。
漏洩した可能性のあるユーザープロファイル情報は次のとおり。
- APIアカウントの名前
- APIアカウントに関連付けられたメールアドレス
- APIユーザーのWebブラウザーに基づくおおよその位置(国、州、都市)
- APIアカウントにアクセスするために使用されたオペレーティングシステムおよびWebブラウザ
- 参照元Webサイト(リファラー)
- APIアカウントに関連付けられた組織またはユーザーID
OpenAIは自社サービスへの侵害がないことを明確にするため、次のサービスおよび情報には影響していないことを発表している。
- チャット(ChatGPT)
- APIリクエスト
- API使用データ
- パスワード
- 認証情報
- APIキー
- 支払い情報
- 政府ID
追加のサイバー攻撃に警戒を
OpenAIはMixpanelおよびパートナー企業と連携してセキュリティ調査を実施。インシデントの範囲を特定し、現在は影響を受けた組織、管理者、ユーザーへの通知作業が進められている。
同社によると、発表時点までにMixpanel環境外への影響は発見されておらず、悪用の兆候はないという。しかしながら、漏洩した情報を悪用するフィッシング詐欺およびソーシャルエンジニアリング攻撃の可能性があるとして、関係者に警戒を呼びかけている。
警戒時の補足情報として「OpenAIはメール、テキスト、チャットを通じてパスワード、APIキー、認証コードを要求しません」と述べ、これら情報を要求する連絡は詐欺の可能性が高いとしている。
OpenAIの措置
この件を受け、OpenAIはMixpanelの利用を終了したことを発表した。これまでAPIサービスの利用状況の分析およびサービスの改善を目的に利用してきたが、セキュリティとプライバシー保護を優先するために終了したという。今後のデータ分析の扱いについては発表がなく、外部委託を継続する予定なのかは定かでない。
