もし誰かが 自分の ChatGPT アカウントや Codex アカウントが攻撃者の標的になることを
心配しているなら、OpenAI は木曜日に、追加のセキュリティ層を提供する任意の新しいアカウント保護レベルを追加すると発表しました。Advanced Account Security(高度なアカウント・セキュリティ)と呼ばれるこの機能は、厳格なアクセス制御を強制することで、アカウント乗っ取り攻撃を非常に難しくします。
こうした対策は、アカウント・セキュリティの世界では新しい発想ではありません。たとえば Google は、ほぼ10年 にわたって、その Advanced Protection のアカウント保護ティアを提供してきました。しかし、世界中でマスメインストリームのAIサービスが急速に増殖するにつれて、基本的な防御策の一式を整備しておく必要性が差し迫っています。OpenAI は今回の提供が、今月初めに発表した より広範なサイバーセキュリティ戦略 の一環だと述べています。
同社は木曜日の ブログ投稿 で、「人々は、深く個人的な問いや、ますますリスクの高い仕事のためにAIに頼るようになっています。時間の経過とともに、ChatGPT アカウントは機微な個人情報や仕事上の文脈を保持し、接続されたツールやワークフローの中心に位置します。ジャーナリスト、選挙で選ばれる公職者、政治的な異議を唱える人たち、研究者、そして特にセキュリティに敏感な人々にとっては、そのリスクはさらに高くなります。」と述べています。
Advanced Account Security を有効にした人は、もはや通常のパスワードをアカウントで使えません。その代わりに、成功するフィッシング攻撃のリスクを大幅に下げるため、2つの 物理セキュリティキー か パスキー を追加する必要があります。この機能は、メールやSMSによるテキスト、そしてアカウント回復のための経路もなくし、代わりに回復キー、バックアップのパスキー、または物理セキュリティキーを使わなければならないようにします。OpenAI は、Advanced Account Security の利用者向けに、より低コストの YubiKey バンドルを提供するために Yubico と提携したと述べています。
重要なのは、ユーザーが Advanced Account Security をオンにすると、アカウント回復のために OpenAI のサポートチームに助けを求めることができなくなる点です。サポート側は回復オプションのいずれにもアクセスしたり制御したりできないためです。こうすることで、攻撃者がソーシャルエンジニアリング攻撃でサポート用ポータルを狙ってアカウントへの侵入を試みることができなくなります。
Advanced Account Security はまた、ユーザーがデバイスでログインし直す必要が生じるまでのサインインのウィンドウとセッションを短くすることも強制します。そして、ロックダウンされたアカウントに誰かがログインしたときはいつでもアラートを出し、アクティブな ChatGPT や Codex のセッションを確認するためにダッシュボードを指します。さらに OpenAI は、モデル学習に自分の ChatGPT の会話を使われないようにするオプトアウトの選択肢をどのユーザーにも用意していますが、Advanced Account Security の利用者ではこの除外がデフォルトで有効になっています。
新しいモデルへの高度なアクセスをサイバーセキュリティの専門家、研究者、その他の関係者に提供するOpenAIの「Trusted Access for Cyber」プログラムのメンバーは、6月1日から高度なアカウントセキュリティを有効化することが求められます。または、企業のシングルサインオンの仕組みを通じてフィッシング耐性のある認証を実装していることを示す代替の宣誓(アテステーション)を提出する必要があります。
