OpenAIは、データ分析プロバイダーであるMixpanelに影響を及ぼした侵害により、一部のAPIユーザーのデータが漏洩した可能性があることを通知しました。
11月26日のブログ投稿で、この生成AI企業は、攻撃者がMixpanelのシステムの一部に不正アクセスし、限定的な顧客識別情報および分析情報を含むデータセットをエクスポートしたと述べました。
このインシデントは11月9日に始まり、Mixpanelは内部調査の後、11月25日にOpenAIとデータセットを共有しました。
OpenAIは、platform.openai.comのユーザー、つまりAPIのユーザーが、Mixpanelからエクスポートされたデータに含まれている可能性があると警告しました。
影響を受けたデータは以下の通りです:
- APIアカウントに関連付けられた名前
- APIアカウントに関連付けられたメールアドレス
- APIユーザーのブラウザに基づくおおよその位置情報(市区町村、州、国)
- APIアカウントへアクセスする際に使用されたオペレーティングシステムおよびブラウザ
- 参照元ウェブサイト
- APIアカウントに関連付けられた組織またはユーザーID
OpenAIは、ChatGPTを含む他の製品や、チャット内容・プロンプト・応答・API利用データには影響がなかったと述べています。
「これはOpenAIのシステムの侵害ではありません。チャット、APIリクエスト、API利用データ、パスワード、認証情報、APIキー、支払い情報、政府発行のIDなどは漏洩・流出していません」と付け加えました。
生成AI企業は、Mixpanelを本番サービスから削除し、データ分析プロバイダーのセキュリティ調査を支援しています。
また、影響を受けた可能性のあるユーザーや組織への通知も開始しています。
「Mixpanel以外にも、ベンダーエコシステム全体で追加かつ拡大したセキュリティレビューを実施し、すべてのパートナーおよびベンダーに対するセキュリティ要件を強化しています」とOpenAIはブログ投稿で述べています。
Mixpanelのデータ収集プロセス
Mixpanelは、アプリケーションやウェブサイト内のユーザー行動を追跡する分析プラットフォームです。OpenAIは、「API製品の利用状況を理解し、サービスを改善するため」にMixpanelのサービスを利用していたと述べています。
- 現在のページ
- オペレーティングシステム
- ブラウザ名
- 参照元ウェブサイト
- デバイスの一意識別子
- 現在のページタイトル
- ブラウザのバージョン
- メールアドレス
- 名前
- 位置情報(例:国)
- 広告ブロックがインストールされているか
- 画面の幅と高さ
しかし、セキュリティ企業は、ほとんどのウェブサイトが独自のカスタム分析設定を持っているため、Mixpanelが収集するデータは異なる場合があると指摘しています。
OpenAIのフィッシング防止に関する推奨事項
OpenAIは、この漏洩データの最も可能性の高い悪用方法は、フィッシングやソーシャルエンジニアリング攻撃であると述べています。APIデータが漏洩した可能性があると考える方には、信頼できそうなフィッシング詐欺やスパムに警戒し、以下のベストプラクティスを実施するよう呼びかけています:
- 予期しないメールやメッセージには注意し、特にリンクや添付ファイルが含まれている場合は慎重に扱う
- OpenAIからのメッセージであると主張する場合、必ず公式のOpenAIドメインから送信されているかを確認する
- OpenAIは、メール・テキスト・チャットを通じてパスワード、APIキー、認証コードを要求することはありません
- 多要素認証(MFA)を有効にする
翻訳元: https://www.infosecurity-magazine.com/news/openai-warns-mixpanel-data-breach/
