米OpenAIはデータ分析プロバイダーMixpanelへの不正アクセスにより、一部APIユーザー情報が流出した可能性を発表した。システム自体は侵害されておらず、「ChatGPT」など他サービスへの影響は確認されていない。
外部ツール経由で情報流出か API利用者に影響懸念
2025年11月26日、OpenAIは、ウェブ分析に利用していた外部サービスMixpanelへの不正アクセスによって、一部のAPIユーザーの情報が流出した可能性があると発表した。
流出した可能性がある情報は、APIアカウントに登録された氏名やメールアドレスのほか、ブラウザー情報、OS、推定位置(都市・州・国)、参照元のウェブサイト、組織IDまたはユーザーIDである。
同社によれば、APIキーやパスワード、支払情報、チャット内容などセンシティブなデータへの侵害は確認されていないという。ただし、氏名やメールアドレスなどの基礎情報であっても、フィッシング攻撃やなりすましにつながる恐れがある。
OpenAIはすでにMixpanelの利用を終了し、本番環境から完全に削除した。
影響を受けたユーザーには個別通知を実施しており、現在も調査を継続している。
OpenAIは、認証情報への影響は確認されていないものの、氏名やメールアドレスなどがユーザー本人や所属組織を狙ったフィッシング攻撃、あるいはソーシャルエンジニアリング攻撃に悪用されるおそれがあるとして、注意を呼びかけている。
具体的には、予期しないメールやメッセージ、特にリンクや添付ファイルを含む通信への対応には慎重を期すことや、多要素認証(MFA)を有効化することが推奨されている。
高度化する攻撃に企業の対策問われる MFA強化が急務
今回の外部ツール経由での情報流出事案は、AIサービスの安全性に対する警戒心を高める契機になったと言える。
評価できる対応としては、OpenAIが問題発覚後すぐにMixpanel利用を停止し、影響対象への通知や注意喚起を行った点が挙げられる。迅速な対応は危機管理能力の高さを示し、透明性確保の姿勢として評価され得る。
一方で、外部委託ツールの脆弱性がセキュリティ上の弱点となった事実は重い。
直接的なシステム侵害がなかったにもかかわらず、結果的にユーザー情報が危険に晒された構図は、技術的なセキュリティ対策だけでは不十分であることを示唆している。
今後は、AIサービス提供企業だけでなく、API活用側の企業も含めた「セキュリティ共同責任」の概念が重視される見通しである。第三者ツールの採用基準を厳格化し、定期的な監査体制を構築する動きが広がると考えられる。
今回の事案を機に、各社が教訓を実践的な施策に落とし込めるかが、今後のAIサービスにおける信頼性維持の鍵になるだろう。
関連記事:
メタのAIアプリ、情報漏えい懸念の報告 ユーザー誤操作による会話の公開が相次ぐ
総務省がAIセキュリティー指針案を提示 特化型AI時代の漏洩対策を強化
AI利用の透明性欠如が企業リスクに直結 クラウドサービス調査で4割超が規約不備
