2025年11月26日

最近の Mixpanel セキュリティインシデントについて知っておくべきこと

2025年12月19日の補足説明：影響を受けたユーザーの定義を明確にするため、本ブログの内容を更新しました。当初、影響を受けたのは「API ユーザー」のみとしていましたが、新たに以下の内容を追記しています。「本件は、ヘルプセンターに問い合わせを送信した、あるいは platform.openai.com⁠（新しいウィンドウで開く）にログインしていた一部の ChatGPT ユーザーにも影響を及ぼしました」。影響を受けたすべてのユーザーはすでに特定されており、当初の通知の際に一斉に連絡を差し上げております。今回の補足を除き、流出した情報の種類を含む本事象に関する見解に一切の変更はありません。

透明性は当社にとって重要です。ここでは、OpenAI が API 製品（platform.openai.com⁠（新しいウィンドウで開く））のフロントエンドインターフェースにおけるウェブ分析に使用していたデータ分析プロバイダー Mixpanel で発生した最近のセキュリティインシデントについてお知らせいたします。

このインシデントは Mixpanel のシステム内で発生し、API の一部のユーザーに関連する限定的な分析データに影響しました。また、ヘルプセンターのチケットを送信した、または platform.openai.com にログインしていた一部の ChatGPT ユーザーにも影響がありました。

これは OpenAI のシステムへの侵害ではありません。チャット、API リクエスト、API 利用データ、パスワード、認証情報、API キー、支払い詳細、政府発行の身分証明書は、いずれも侵害または漏洩されていません。

インシデント詳細

2025年11月9日、Mixpanel は、攻撃者が同社のシステムの一部に不正アクセスし、限定的な顧客識別情報および分析情報を含むデータセットをエクスポートしたことを確認しました。Mixpanel は調査中であることを OpenAI に通知し、2025年11月25日に影響を受けたデータセットを当社と共有しました。

影響を受けたユーザーにとって意味すること

Mixpanel からエクスポートされたデータには、platform.openai.com⁠（新しいウィンドウで開く）の使用に関連するユーザープロファイル情報が含まれている可能性があります。影響を受ける可能性のある情報は以下のものに限定されます。

アカウントに登録された名前
アカウントに登録されているメールアドレス
ユーザーのブラウザに基づくおおよその位置情報（市、県、国）
アカウントにアクセスするために使用したオペレーティングシステムとブラウザー
参照ウェブサイト
アカウントに関連付けられた組織またはユーザー ID

当社の対応

セキュリティ調査の一環として、当社は本番環境サービスから Mixpanel を削除し、影響を受けたデータセットを検証しました。現在、Mixpanel およびその他のパートナーと緊密に連携し、本インシデントとその影響範囲を完全に把握すべく取り組んでいます。影響を受けた組織、管理者、ユーザーに直接通知する手続きを進めています。Mixpanel の環境外におけるシステムやデータへの影響を示す証拠は確認されていませんが、不正利用の兆候がないか引き続き厳重に監視を続けています。

信頼、セキュリティ、プライバシーは、当社の製品、組織、そして使命の基盤となります。当社は透明性を重視しており、影響を受けるすべての顧客とユーザーに通知しています。また、パートナーやベンダーに対しても、サービスのセキュリティとプライバシーに関する最高水準の基準を遵守する責任を求めています。この件を検討した結果、OpenAI は Mixpanel の利用を終了しました。

Mixpanel に加え、当社はベンダーエコシステム全体で追加的かつ拡大したセキュリティレビューを実施し、すべてのパートナーおよびベンダーに対するセキュリティ要件を強化しています。

留意すべき点

ここで影響を受けた可能性のある情報は、お客様やお客様の組織に対するフィッシングやソーシャルエンジニアリング攻撃の一部として悪用される恐れがあります。

氏名、メールアドレス、OpenAI API メタデータ（ユーザー IDなど）が含まれていたため、信憑性のあるフィッシング詐欺やスパムに対して警戒を怠らないようお願いします。注意事項：

予期しないメールやメッセージ、特にリンクや添付ファイルが含まれているものにはご注意ください。
OpenAI からのメッセージであると主張するものが、公式の OpenAI ドメインから送信されていることを必ず確認してください。
OpenAI は、電子メール、テキスト、チャットを通じてパスワード、API キー、または確認コードを要求することはありません。
多要素認証⁠（新しいウィンドウで開く）を有効にして、アカウントをさらに保護してください。

当社製品のセキュリティとプライバシーは最優先事項であり、お客様の情報保護と問題発生時の透明性ある情報提供に引き続き努めてまいります。変わらぬご信頼に心より感謝申し上げます。

OpenAI

FAQ

OpenAI が Mixpanel を使用した理由

Mixpanel は、製品の使用状況を把握し、API 製品（platform.openai.com）のサービスを改善するために、サードパーティのウェブ分析プロバイダーとして使用されました。ヘルプセンターを通じてチケットを送信した、または platform.openai.com にログインしていた一部の ChatGPT ユーザーについて、上記の情報が Mixpanel によってログに記録された可能性があります。これらのユーザーはその時点ですでに特定されており、通知も完了しています。

OpenAI のシステムの脆弱性が原因だったのでしょうか？

いいえ。このインシデントは Mixpanel のシステムに限定されており、OpenAI のインフラストラクチャへの不正アクセスは含まれていません。

自分の組織や自分自身が影響を受けたかどうか、確認するにはどうすればよいですか？

現在、影響を受ける方々に通知する手続きを進めており、お客様またはお客様の組織の管理者にメールで直接ご連絡し、お知らせいたします。

API データ、プロンプト、または出力に影響はありましたか？

いいえ。チャットの内容、プロンプト、応答、または API 使用データには影響はありませんでした。

この件で ChatGPT アカウントは影響を受けましたか？

ヘルプセンターを通じてチケットを送信した、または platform.openai.com にログインしていた ChatGPT の一部のユーザーが影響を受けた可能性があります。該当ユーザーには既に通知済みです。

OpenAI のパスワード、API キー、または支払い情報は漏洩しましたか？

いいえ。OpenAI のパスワード、API キー、支払い情報、政府 ID、アカウントアクセス資格情報は影響を受けませんでした。さらに、OpenAI サービスのセッショントークン、認証トークン、その他の機密パラメータも影響を受けていないことを確認しています。

パスワードをリセットしたり、API キーをローテーションしたりする必要がありますか？

パスワードおよび API キーは影響を受けていないため、今回の件への対応としてリセットやキーのローテーションは推奨しておりません。

OpenAI は個人情報やプライバシーを守るために何をしていますか？

当社は、影響を受けたデータセットを入手し、独立した検証を進めるとともに、潜在的な影響の調査を継続し、不正利用の兆候がないか厳重に監視しています。個別に影響を受けたすべてのユーザーと組織に通知し、Mixpanel と連絡を取りながらさらなる対応策を検討しています。

Mixpanel は OpenAI 製品から削除されましたか？

はい。

アカウントに多要素認証を有効にするべきでしょうか？

はい。このインシデントではアカウントの資格情報やトークンは影響を受けませんでしたが、セキュリティ管理のベストプラクティスとして、すべてのユーザーが多要素認証を有効にしてアカウントをさらに保護することをお勧めします。企業や組織の場合、シングルサインオンレイヤーで MFA を有効にすることをお勧めします。

何か変更があった場合、追加で更新情報を受け取ることができますか？