OpenAIは、APIユーザーが、同社の元データ分析プロバイダーであるMixpanelで最近発生した侵害の影響を受けている可能性があると述べている。
影響範囲はある程度限定されており、OpenAIのプラットフォーム(AI搭載製品を開発するためのツール)のユーザーのみが対象となる。典型的なChatGPTユーザーは、自身もAPIを利用していない限り心配する必要はない。
Mixpanelは11月9日にデータ侵害を検知し、11月25日にそのデータセットをOpenAIと共有した。
関係するデータの種類は、OpenAIプラットフォームアカウントに紐づくプロフィール情報であり、氏名、メールアドレス、おおよその所在地、オペレーティングシステムとブラウザの詳細、参照元ウェブサイト、そしてアカウントに関連付けられた組織またはユーザーIDが含まれる。
OpenAIは、この攻撃を受けてMixpanelの利用を中止し、ベンダーエコシステム全体にわたるより広範なセキュリティレビューを実施し、それぞれに対する要件を引き上げていると述べた。
同社は発表の中で次のように述べている。「当社のセキュリティ調査の一環として、本番環境のサービスからMixpanelを削除し、影響を受けたデータセットを精査するとともに、このインシデントとその範囲を完全に理解するためにMixpanelおよび他のパートナーと緊密に連携しています。現在、影響を受けた組織、管理者、およびユーザーに対して直接通知を行っているところです。Mixpanelの環境外のシステムやデータに影響が及んだ証拠はこれまでのところ見つかっていませんが、不正利用の兆候がないか引き続き注意深く監視しています。
「信頼性、セキュリティ、プライバシーは、当社の製品、組織、そしてミッションの基盤です。当社は透明性を重視しており、影響を受けたすべての顧客およびユーザーに通知しています。また、パートナーやベンダーに対しても、そのサービスにおいて最高水準のセキュリティとプライバシーを求めています。本件を精査した結果、OpenAIはMixpanelの利用を終了しました。」
OpenAIは、Mixpanelの侵害によって影響を受ける可能性のあるユーザー数を明らかにしていないが、該当者には直接通知していることを認めた。The Registerはさらなる情報を求めている。
侵害通知から予想されるとおり、同社はユーザーに対し、潜在的なフィッシング攻撃に注意するよう警告したが、パスワードのリセットまでは必要ないとしている。
ここでの主な懸念は、疑わしいリンクや添付ファイルを含むもっともらしいメール、あるいはパスワードや認証コードの取得を試みるメールである。
OpenAIがこの件について公表した声明は、影響を受けた顧客に直接送付された情報と全く同じ内容であり、セキュリティ専門家らによってソーシャルメディア上で共有されている。
ChatGPTの開発元である同社は、今回の侵害を受けてMixpanelの利用を中止するまで、顧客がどのようにAPIを利用しているかをよりよく理解するために、ウェブ解析用途でMixpanelを使用していたと述べた。
The Registerはまた、今回の侵害およびOpenAIによる契約終了の決定について、Mixpanel側の見解も求めたが、同社はOpenAIの声明を参照するよう求めるのみだった。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/27/openai_mixpanel_api/
