📖 この記事で分かること
・OpenAIで起きた情報漏洩事件の概要
・あなたが影響を受けるかどうかの判断基準
・漏洩した情報と、安全だった情報の違い
・今すぐできる具体的な対策方法
💡 知っておきたい用語
・API【エーピーアイ】:アプリやサービス同士が情報をやり取りするための「窓口」のようなもの。普通のChatGPT利用とは別の、開発者向けの高度な使い方です。
最終更新日: 2025年11月28日
2025年11月27日、ChatGPTの開発元であるOpenAIが、ユーザー情報が漏洩した可能性があると公式に発表しました。ただ、影響を受けるのは一部のAPI利用者のみで、普通にChatGPTを使っている人には影響がないとのことです。
実に興味深いのは、OpenAI自体のシステムは無事だったという点です。では、なぜ情報漏洩が発生したのでしょうか?
何が起きたのか?外部サービス経由の情報流出
今回の事件の原因は、OpenAIが利用していた外部の分析サービス「Mixpanel【ミックスパネル】」が不正アクセスを受けたことです。Mixpanelは、ウェブサイトやアプリで「どのボタンがクリックされたか」「どのページが見られたか」などのユーザー行動を分析するためのツールです。
OpenAIは、API管理画面(platform.openai.com)の利用状況を把握するためにこのツールを使っていました。ところが、Mixpanelは2025年11月8日にsmishing攻撃(SMSを使ったフィッシング攻撃)を検出し、翌9日に不正アクセスの全容を認識しました。攻撃者は限定的な顧客データを外部に持ち出したとされています。
Mixpanel社は公式ブログで経緯を説明しており、同日中に影響を受ける可能性のある顧客に連絡しました。そして11月25日には、OpenAIに対して影響を受けたデータセットを共有しました。OpenAIは27日に事態を公式発表し、影響を受けた可能性のあるユーザーへの個別通知を開始しています。
でも、これって実は重要な教訓を含んでいます。どれだけ大企業がセキュリティ対策を強化しても、外部サービスを利用している限り、完全に安全とは言えないということです。これを「サードパーティリスク」と呼びます。
漏洩した情報と、安全だった情報
注目すべき点は、何が漏れて、何が漏れていないかです。
流出した可能性がある情報
OpenAIの公式発表によると、以下の情報が流出した可能性があります:
- APIアカウントの氏名
- APIアカウントのメールアドレス
- ブラウザから推定される大まかな位置情報(市・州・国レベル)
- APIアカウントへのアクセスに使用したOSとブラウザ
- 参照元のウェブサイト
- APIアカウントに紐づく組織IDまたはユーザーID
なお、流出件数については明らかにされていません。
流出していない情報(安全だった情報)
OpenAIは以下の情報については「一切漏洩していない」と明言しています:
- ChatGPTとのチャット内容
- APIリクエストや生成されたレスポンス
- API使用履歴や詳細な利用ログ
- パスワードや認証トークン
- APIキー
- クレジットカードなどの支払い情報
- 政府発行の身分証明書
つまり、漏れたのは「誰がどこからどの環境でOpenAIのAPI管理画面にアクセスしていたか」を示す分析データであり、チャット内容やコード、機密プロンプトそのものが直接漏洩したわけではありません。
正直なところ、これは不幸中の幸いと言えるでしょう。
あなたは影響を受ける?判断基準
では、あなたは今回の事件の影響を受けるのでしょうか?
影響を受けない人(ほとんどの人)
以下に該当する人は、今回のインシデントの影響を受けません:
- 普通にChatGPTを使っているだけの人
- ChatGPT Plusの有料会員
- ChatGPT Enterpriseの利用者
- ChatGPT無料版の利用者
OpenAI公式声明でも、「Users of ChatGPT and other products were not impacted(ChatGPTやその他の製品のユーザーは影響を受けていません)」と明記されています。つまり、ウェブサイトやスマホアプリで普通にChatGPTを使っている人は、まったく心配する必要がありません。
影響を受ける可能性がある人
一方、以下に該当する人は影響を受ける可能性があります:
- OpenAIのAPI(Application Programming Interface)を契約している開発者や企業
- platform.openai.comにアカウントを持っている人
- APIを使ってサービスを開発している技術者
該当する場合、OpenAIから直接メールで通知が届いているはずです。メールが届いていない場合は、影響を受けていない可能性が高いと考えられます。
今後のリスク:フィッシング詐欺に要注意
OpenAIは、流出した可能性のある情報がフィッシング攻撃やソーシャルエンジニアリング攻撃(なりすまし詐欺)に悪用される恐れがあるとして、注意を呼びかけています。
攻撃者は、漏洩した氏名やメールアドレスを使って、OpenAIからの公式メールを装った偽メールを送ってくる可能性があります。「セキュリティ上の理由でパスワードを変更してください」「APIキーを再発行してください」といった内容で、偽のウェブサイトに誘導して認証情報を盗み取ろうとするかもしれません。
今すぐできる対策
OpenAIは以下の対策を推奨しています:
1. 予期しないメールやメッセージに注意する
特にリンクや添付ファイルが含まれている場合は慎重に扱いましょう。OpenAIからのメールかどうか確認するには、差出人のメールアドレスがOpenAIの公式ドメイン(@openai.com)であることを確認してください。
重要なのは、OpenAI公式声明でも述べられているように、OpenAIはメールやチャットでパスワード、APIキー、認証コードを要求することは絶対にないということです。そのような要求があった場合は、間違いなく詐欺です。
2. 多要素認証(MFA)を有効にする
まだ多要素認証を設定していない場合は、今すぐ有効にしましょう。多要素認証とは、パスワードに加えて、スマホに送られてくる認証コードなど、2つ目の確認方法を使ってログインするセキュリティ機能です。
これにより、たとえパスワードが漏洩しても、攻撃者が勝手にログインすることを防げます。
3. 公式ドメインからのメールか確認する
OpenAIから連絡が来た場合は、必ずメールアドレスが@openai.comであることを確認してください。似たようなドメイン(例:@openai-support.comなど)は詐欺の可能性が高いです。
OpenAIの対応
OpenAIは事態を受けて、以下の対応を実施しています:
- サービスの本番環境からMixpanelを完全に削除
- 影響を受けたデータセットの精査
- Mixpanelおよび他のパートナーと連携し、インシデントの全容把握と追加調査を実施
- 影響を受けた組織・管理者・ユーザーに個別通知
- ベンダー全体のセキュリティ基準を強化
特に注目すべきは、OpenAIがすでにMixpanelの利用を完全に停止し、二度と同じ問題が起きないよう対策を講じている点です。
よくある質問
Q: 普通にChatGPTを使っているだけですが、パスワードを変更する必要はありますか?
A: いいえ、必要ありません。今回の事件はAPI利用者のみが対象で、通常のChatGPT利用者には影響がありません。ただし、セキュリティ強化のため、定期的なパスワード変更と多要素認証の設定は推奨されます。
Q: OpenAIからメールが届きましたが、本物かどうか見分ける方法は?
A: 差出人のメールアドレスが@openai.comであることを確認してください。また、OpenAIはメールでパスワードやAPIキーを要求することは絶対にありません。そのような要求があれば詐欺です。
Q: API利用者ですが、通知メールが届いていません。大丈夫でしょうか?
A: OpenAIは影響を受けたユーザーにのみ個別通知を送っています。メールが届いていない場合は、あなたのアカウント情報は流出していない可能性が高いです。ただし、念のため多要素認証を有効にし、不審なメールに注意してください。
まとめ
OpenAIで発生した情報漏洩事件は、外部サービス(Mixpanel)への不正アクセスが原因でした。Mixpanelは11月8日にsmishing攻撃を検出し、翌9日に不正アクセスの全容を認識しました。影響を受けるのはAPI利用者の一部のみで、通常のChatGPT利用者には影響がありません。
流出した可能性があるのは氏名やメールアドレスなどの基本情報であり、チャット内容やパスワード、支払い情報などは安全です。OpenAIはすでにMixpanelの利用を完全に停止し、ベンダー全体のセキュリティ強化策を講じています。
今後はフィッシング詐欺に注意し、予期しないメールのリンクをクリックしないこと、多要素認証を有効にすることが重要です。
この事件は、どれだけ大企業でも外部サービスを使う限りリスクがあることを示しています。私たちユーザーも、基本的なセキュリティ対策を怠らないことが大切です。
【用語解説】
- API【エーピーアイ】:Application Programming Interfaceの略。アプリやサービス同士が情報をやり取りするための「窓口」のような仕組み。開発者が自分のサービスにAI機能を組み込む際に使用します。
- Mixpanel【ミックスパネル】:ウェブサイトやアプリのユーザー行動を分析するためのデータ分析ツール。どのボタンがクリックされたか、どのページが見られたかなどを細かく追跡できます。
- Smishing【スミッシング】:SMSとPhishingを組み合わせた造語。ショートメッセージ(SMS)を使って行われるフィッシング詐欺のこと。
- 多要素認証(MFA):パスワードだけでなく、スマホに送られる認証コードなど、複数の方法でログイン本人確認を行うセキュリティ機能。パスワードが漏洩しても不正ログインを防げます。
- フィッシング攻撃:正規のサービスや企業を装った偽メールやウェブサイトで、パスワードなどの個人情報を盗み取ろうとする詐欺手法。
- サードパーティリスク:自社サービスが外部の企業(サードパーティ)のサービスやツールに依存している場合、その外部サービスの問題が自社にも影響を及ぼすリスクのこと。
免責事項: 本記事の情報は執筆時点のものです。必ず最新情報をご確認ください。AI技術は急速に進歩しているため、機能や制限は予告なく変更される場合があります。
公式情報源:
報道機関による検証済み情報:
