OpenAI Discloses Mixpanel Data Breach – Name, Email Address and Operating System Details Exposed
2025/11/27 CyberSecurityNews — OpenAI が公表したのは、API 製品のフロントエンドである “platform.openai.com” の活動を監視するために、以前に使用していたサードパーティ分析プロバイダ Mixpanel に関連するセキュリティ・インシデントである。2025年11月9日に Mixpanel が検知したのは、自社システムへの不正なアクセスがあり、一部の OpenAI API ユーザーの識別情報を含む分析データがエクスポートされたことだった。
OpenAI による発表では透明性が強調され、この侵害により OpenAI 自身のシステム/チャット内容/API キー/パスワード/認証情報/支払い情報が侵害されなかったことがユーザーに説明されていた。
調査結果
Mixpanel は OpenAI に状況を通知し、OpenAI は内部調査を開始した。Mixpanel が影響を受けたデータセットの詳細を OpenAI が確認したのは、2025年11月25日のことだった。
特筆すべきは、影響を受けた可能性があるのは API プラットフォーム (platform.openai.com) のユーザーのみであり、ChatGPT などの他の OpenAI 製品のユーザーは影響を受けていない点である。
漏洩した情報は、OpenAI API アカウントに登録された氏名/メールアドレス/ブラウザ情報に基づくおおよその所在地 (市・州・国) /使用 OS とブラウザ/参照元 Web サイト/アカウントに紐づく組織 ID またはユーザー ID である。その一方で、チャットの内容や API コンテンツ/パスワード/決済情報/政府発行 ID の漏洩はなかった。
OpenAI はインシデントの発覚後に、Mixpanel を本番環境から削除し、影響を受けたデータセットを徹底的に調査した。また、影響の可能性がある全組織とユーザーに対して直接通知を行った。
OpenAI は声明で、Mixpanel のシステム外でデータが不正使用された証拠は見つかっていないと述べているが、悪用の有無を確認するための積極的な監視を続けているという。さらに同社は、Mixpanel との契約を終了し、全ベンダー・パートナーに対して追加のセキュリティ・レビューを実施し、セキュリティ基準を全面的に引き上げている。
このインシデントには、氏名やメールアドレスなどの情報が関連するため、ユーザーにとって必要なことは、フィッシングやソーシャル・エンジニアリング攻撃への警戒である。特に、予期せぬメールやメッセージに注意し、さらにリンクや添付ファイルにも注意すべきである。OpenAI を名乗る通信が、公式ドメインから送信されたものであることを必ず確認すべきだ。
OpenAI がメールやチャットを介して、パスワード/API キー/認証コードを要求することは絶対にない。追加の保護策として、OpenAI アカウントで多要素認証 (MFA) を有効にすることが推奨される。また、OpenAI は、こうした事象について今後もオープンに情報発信を行い、プライバシー/セキュリティ/透明性に取り組んでいくと表明している。
OpenAI の API フロントエンド監視を担っていた Mixpanel から、分析データが不正に持ち出されるというインシデントが発生しました。原因は OpenAI 本体ではなく、外部サービス側のアクセス侵害にありますが、その影響により氏名やメールアドレスといった識別情報が漏えいした可能性があると説明されています。特に、API 利用時に収集されるブラウザ情報や所在地データが含まれていた点を、この記事は指摘しています。よろしければ、OpenAI での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.