OpenAI、分析パートナーのフィッシング攻撃被害を受けデータ侵害を認める

Mixpanel、顧客プロファイルからメールアドレスと組織IDを窃取された後、フィッシング攻撃に警戒を呼びかけ

OpenAIは、分析パートナーであるMixpanelのシステムにハッカーが侵入し、APIポータルの顧客プロファイル情報を窃取した重大なデータ侵害被害を受けたことを、両社が共同声明で発表した

Mixpanelのジェン・テイラーCEOの投稿によると、この事件は11月8日に発生し、同社は「SMSフィッシング攻撃を検知し、直ちにインシデント対応プロセスを実行した」という

SMSフィッシングとは、標的となった従業員に対するSMS経由のフィッシング攻撃の一種であり、テキストメッセージが通常の企業セキュリティ対策を回避できるためハッカーに好まれる
これにより攻撃者はMixpanelのシステムにアクセスし、platform.openaiアカウントプロファイルに関連する以下のメタデータを盗み出すことができた

- APIアカウントでOpenAIに提供された名前
- APIアカウントに関連付けられたメールアドレス
- APIユーザーのブラウザに基づくおおよその位置情報
- APIアカウントへのアクセスに使用されたOSとブラウザ
- リファラーサイト
- APIアカウントに関連付けられた組織IDまたはユーザーID

テイラー氏は「影響を受けた全顧客に積極的に連絡しました、当社から直接連絡がない場合は影響を受けていません」と述べた

別のOpenAIの投稿によると、Mixpanelは11月25日に影響を受けた顧客データセットをOpenAIと共有した
調査後、OpenAIはMixpanelの利用を終了したと述べ、これが恒久的な措置である可能性を示唆した

この事象はplatform.openaiアカウントを持つ一部の顧客に影響を与えるが、ChatGPTやその他のOpenAI製品の利用者には影響しないとOpenAIは説明した

「影響を受けた組織、管理者、ユーザーへの直接通知を進めています。Mixpanel環境外のシステムやデータへの影響を示す証拠は確認されていませんが、悪用兆候がないか厳重に監視を継続します」とOpenAIは説明した

「これはOpenAIシステムの侵害ではありません。チャット内容、APIリクエスト、API利用データ、パスワード、認証情報、APIキー、支払い詳細、政府発行IDは一切漏洩・暴露されていません」

顧客はどのように対応すべきか？

懸念は3段階に分けられる
どのOpenAI API顧客が影響を受けたか、影響を受けた場合攻撃者が盗んだデータをどう悪用するか、そして仮説的ではあるがAPIキーやアカウント認証情報などより価値の高いデータが危険に晒される可能性だ

第一の懸念点については、前述の通り両社とも影響を受けた顧客には連絡済みと発表しているが、具体的なユーザー数は明示していない

とはいえ、数十年にわたるデータ侵害事例が世界に教えたことは、企業が「把握している」と主張しても、実際の侵害規模を完全に把握できていない場合が多いという事実だ
そのため、連絡を受けていないOpenAIユーザーも、連絡を受けたユーザーと同様のセキュリティ点検を実施することが賢明だろう

OpenAIは、漏洩したメールアドレスを標的としたフィッシング攻撃に警戒し、OpenAIドメインから送信されたように見えるメッセージの真正性を確認するよう顧客に呼びかけています
また、多要素認証（MFA）を有効化すべきです

フィッシング攻撃が一般的な脅威に聞こえるかもしれませんが、API接続の文脈では危険性はより具体的であり、請求関連、クォータ通知、不審なログインなどに関するより巧妙な偽アラートが含まれます

OpenAIによれば、攻撃者がデータ窃取やサービス不正利用に悪用する可能性のあるアカウント認証情報やAPIキーのローテーションやリセットは不要である
しかし慎重な開発者はリスク除去のため、この指示を無視して認証情報を更新する可能性が高い

API・AIセキュリティ関連組織（Ox Security、Dev Communityなど）は、OpenAI-Mixpanelインシデントを踏まえた詳細な推奨事項を提示している

下流の攻撃対象領域

OpenAIはMixpanelなどの外部分析プラットフォームを利用し、顧客がAPI経由でモデルとどのようにやり取りするかを追跡している
これには顧客が選択したモデルに加え、前述の位置情報やメールアドレスなどの基本メタデータが含まれる
ただしユーザーの「ペイロード」、つまりブラウザからモデルに送信されるチャットボットのクエリや応答（暗号化されている）は追跡対象外である

今回の事案は、主要プラットフォームのセキュリティだけではリスクの一部に過ぎないことを浮き彫りにした
二次プラットフォームやパートナー企業は、たとえ慎重な組織であってもデータを晒す可能性のある裏口となる
Salesforceの顧客がパートナー企業Salesloftのデータ漏洩で経験したように

AIプラットフォームが晒す攻撃対象領域は見た目以上に広大である December 12, 2025

@REISSUE_YONEZU ご返信ありがとうございます。
恐れ入りますが、SNN上ではセキュリティの観点より詳細確認などはできませんため、ご不明点などがあれば、ご案内のリンクよりカスタマーサービスまでご連絡いただければ幸いです。吉本 December 12, 2025

X (旧Twitter) アカウントがロックされた場合、いくつかの注意点と対処法があります。ロックされた原因によって対応が異なりますが、一般的な対処法は以下の通りです。
アカウントロックとは？凍結との違い
まず、Xのアカウントロックは、利用規約違反や不審なアクティビティがあった際に、アカウントの機能を一時的に制限する措置です。多くの場合、比較的簡単な操作で解除できます。
一方、「凍結」はロックよりも厳しい措置で、ログイン自体ができなくなる場合や、異議申し立てが必要になる場合があります。さらに「永久凍結」は最も重いペナルティで、アカウントが完全に利用できなくなり、新しいアカウントの作成も制限されることがあります。
ロックされた時に気を付けること・対処法
* 表示されるメッセージをよく確認する
アカウントがロックされた場合、ログイン時に「アカウントがロックされました」というメッセージが表示されます。そこに解除方法が示されていることが多いので、まずはその指示に従うことが重要です。
* ロックの原因を特定する
ロックされる原因は様々ですが、主に以下のようなものが挙げられます。
* セキュリティ上の理由：アカウントが乗っ取られた可能性がある、不審なログインがあった、といった場合に、セキュリティ保護のためにロックされることがあります。この場合、パスワードの変更や本人確認が求められます。
(続く) December 12, 2025

@ugreenjapan B) ファイアウォール/2FA対応

NASのデータセキュリティの利点は、クラウドより高い保護が得られる点が魅力的です！特に自宅で大切なデータを管理するのに安心感があります。✨ キャンペーンに参加してiPhone17ケースをゲットしたいです！応募完了しました、よろしくお願いします🙏 #UGREEN December 12, 2025

@bearwars1656 ワイ、デジタル恐怖人間なんで今だに物理カードのみ、オートチャージオフ、オートログインオフなの💦だって〜倭国が１番そのへんのセキュリティ遅れてるいわれてるやん😱ってか、その前に🚗のスマートキーも信用(ちゃんと施錠)できなくて確認しようと近づくと解錠される…元カレに、アホですか？って😂 December 12, 2025

@roboishikoro こんにちは。colosoとカード会社どちらにも問い合わせてみたのですが、3D認証のエラーで、不正利用防止として決済セキュリティに自動で停められてしまったようです。結果、カードやサイトにも問題はなく、運悪く死んだみたいな感じです。もし良かったら解説記事のサンプルとしてお納めください。 December 12, 2025

#freee技術の日 スタッフでした！なんだか余裕がなかったのかポストする余地なかったな…でもいわゆる2ホップ先の方とお会いできたり、セキュリティに興味がある学生さんとお話しできたり、個人的にも楽しかった！来場者の皆さまにもこういう楽しさや、あるいは「現在地」が届いてますように！ December 12, 2025

X（旧Twitter）アカウントがロックされる原因は、主に以下のものが考えられます。
* スパム行為:
* 短時間に大量の投稿、フォロー、いいね、リツイートなどを行う
* 同じ内容の投稿を繰り返す
* 詐欺サイトなどの有害なリンクを投稿する
* ボットや自動化ツールを過剰に利用する
* 攻撃的な行為や嫌がらせ:
* 暴力的な発言や脅迫
* ヘイトスピーチ（差別的な発言）
* 特定の人物への嫌がらせや誹謗中傷
* 他者の個人情報を無許可で公開する
* 著作権侵害:
* 他者の著作物を無断で投稿する
* セキュリティ上の問題:
* アカウントが乗っ取られた疑いがある
* 不審なログインが検出された
* X（旧Twitter）のルール違反:
* X（旧Twitter）では上記以外にも様々なルールが定められています。そのルールに違反するとロックされる可能性があります。
X（旧Twitter）は、これらの行為を検知すると、アカウントをロックすることでユーザーを保護し、プラットフォームの安全性を維持しようとします。
もしアカウントがロックされてしまった場合は、X（旧Twitter）の指示に従って解除手続きを行ってください。 December 12, 2025

某航空会社から「貯まってるマイルが今日までです」ってメール来て、もう何年も乗ってないのに変だなと思いつつリンク踏んだらセキュリティソフトが注意してくれた。ちゃんとメアド見ればわかったのに、うっかりしてた^^;　朝でぼーっとしてたな。気をつけなくちゃ。ありがとうセキュリティソフト！ December 12, 2025

割と願いが叶うタイプだから、国産パソコン
国産検索エンジン
国産マップ

USB的なセキュリティ対策万全

色んな穴はご存じでしょ？(ワイは知らんけど)

新規で買うから作ってほＣ。

(お金持ちさん初期に高いのを買ってねーというか倭国人に配れば？税金で！！) December 12, 2025

外部からの攻撃を防ぐことはみんなやってる。
内部が怖いんだよ。

ハッカーによる攻撃はもちろん存在するのだけど、セキュリティを突破するのはそんな簡単じゃないからね。

https://t.co/PIBdcIglYy December 12, 2025

私のできること
・NW運用(設計・構築)
・Cloud(AWS、OCI、Azure、GCP)
・DB(Oracle Silver持ってるが使ってない)

いま力入れてるところ
・セキュリティ(特に0TRUST)

基礎レベル
・PG(ソース読める&JavaやCおよびC＋＋は組実務経験1年以上はある) December 12, 2025

こういうのってさ、「ああ、もういいや、カクヨムは」ってなりませんか？
AI対策とかセキュリティ対策はわかるんだけどさ、ちょっと悪手だと思うんだよね。
実際、私はカクヨムへのログイン回数減ってますもん。
（終わり） December 12, 2025

@stdaux データセンターはセキュリティ的に大事な情報がたくさんあるので、知らない人には近づいて欲しくないです。 December 12, 2025

あたしがドズル社見始めたのはBinTRoLLコラボからで過去動画はセキュリティとか卑怯道とかわかりやすいのばかり見てたから、マイクラ初心者はエンドラ討伐はあんま見てない事に気づく。
一気見刺さってる視聴者いますよ～！ December 12, 2025

◤◢◤PCを最新の状態にしよう💻◢◤◢

アップデートを行うと…
・セキュリティー強化 💪
・不具合の修正

【Win】 設定 ➔ Windows Update
【Mac】 システム設定 ➔ ソフトウェアアップデート

※インターネットに接続して行ってください 📶
※アップデートとアップグレードは別物です December 12, 2025

例えば「国境をなくせ」や「刑罰を軽くせよ」という主張。
治安が悪化して困るのは現場の庶民ですが、セキュリティの堅固なマンションに住むエリートは困りません。「社会が混乱しても自分は大丈夫」という安全圏があるからこそ、彼らはリスクの高い社会実験を、まるでゲームのように提案できるのです。 December 12, 2025

@nyaaaco1 リンク先でパスワードとか入力してなければ多分大丈夫だと思いますが怖いですよね🙀

心配であれば設定→セキュリティ→アプリとセッションでアクセス履歴かログインしてる端末を暫くチェックするのも良いかもですね(´・ω・`)ド素人意見なのであれですが😹 December 12, 2025

一応、パーティションで区切ってあるが、セキュリティリスクがないわけではない業務なので、やっぱ怖い December 12, 2025

藤田観光 運営のホテルグレイスリー浅草の顧客の個人情報漏洩-フィッシングサイト誘導も確認

https://t.co/loVS59CADY

#セキュリティ対策Lab #セキュリティ #Security #サイバー攻撃 December 12, 2025