OpenAIは、一部のChatGPT API顧客に対し、サードパーティの分析プロバイダーであるMixpanelでの侵害により、限定的な識別情報が流出した可能性があると通知しています。
Mixpanelはイベント分析サービスを提供しており、OpenAIはAPI製品のフロントエンドインターフェース上でのユーザー行動を追跡するためにこれを利用しています。
同社によると、このサイバーインシデントは「一部のAPIユーザーに関連する限定的な分析データ」に影響したものであり、ChatGPTやその他の製品のユーザーには影響はなかったとしています。
「これはOpenAIのシステムへの侵害ではありません。チャット内容、APIリクエスト、API利用データ、パスワード、認証情報、APIキー、支払い情報、政府発行IDなどは一切侵害・流出していません」とOpenAIはプレスリリースで述べています。
Mixpanelは、この攻撃について「当社の一部の顧客に限定的な影響を与えた」と報告しており、11月8日に同社が検知したスミッシング(SMSフィッシング)キャンペーンが原因だったとしています。
OpenAIは、Mixpanelによる継続中の調査について知らされた後、11月25日に影響を受けたデータセットの詳細を受け取りました。
同社は、流出した可能性のある情報として、以下を挙げています。
- APIアカウントに登録された氏名
- APIアカウントに紐づくメールアドレス
- APIユーザーのブラウザに基づくおおよその位置情報(市区町村、州/都道府県、国)
- APIアカウントへのアクセスに使用されたオペレーティングシステムおよびブラウザ
- リファラ(参照元)ウェブサイト
- APIアカウントに関連付けられた組織またはユーザーID
機密性の高い認証情報は流出していないため、ユーザーがパスワードをリセットしたりAPIキーを再生成したりする必要はありません。
一部のユーザーは、暗号資産ポートフォリオ追跡および税務プラットフォームであるCoinTrackerも影響を受けており、デバイスのメタデータや限定的な取引件数なども流出したと報告しています。
OpenAIは、インシデントの全容を把握するための調査を開始しました。予防措置として、本番環境のサービスからMixpanelを削除し、組織、管理者、個々のユーザーに対して直接通知を行っています。
OpenAIは、影響を受けたのはAPIユーザーのみであると強調しつつも、すべての加入者に通知を行いました。
同社は、流出したデータがフィッシングやソーシャルエンジニアリング攻撃に悪用される可能性があると警告し、本件に関連するもっともらしい不審なメッセージに注意するようユーザーに呼びかけています。
リンクや添付ファイルを含むメッセージについては、公式のOpenAIドメインから送信されたものであるかを必ず確認する必要があります。
また同社は、ユーザーに対して2要素認証(2FA)を有効にし、パスワード、APIキー、認証コードなどの機密情報をメール、SMS、チャットなどで送信しないよう強く求めています。
MixpanelのCEOであるJen Taylor氏は、影響を受けたすべての顧客に直接連絡したと述べました。「もし当社から連絡を受けていない場合は、影響はありません」と付け加えています。
今回の攻撃への対応として、Mixpanelは影響を受けたアカウントを保護し、アクティブなセッションとサインインを無効化し、侵害された認証情報をローテーションし、攻撃者のIPアドレスをブロックし、全従業員のパスワードをリセットしました。同社はまた、今後同様のインシデントを防ぐための新たな管理策も導入しています。
