何が起きたか
OpenAIは、ジャーナリスト、研究者、政治的反体制派、選出された公職者など、標的型ハッキング攻撃のリスクが高いChatGPTユーザー向けのオプトイン機能である高度なアカウントセキュリティを展開しました。この機能は4つの領域に焦点を当てています:より強力な認証(ハードウェアセキュリティキー、パスキー)、セキュアなアカウント復旧(メール/SMSをバックアップパスキーと復旧キーに置き換え)、サインイン時間の短縮によるテイクオーバーリスクの削減、および自動脅威監視です。
なぜ重要か
LLMが機密ワークフロー(法務調査、調査報道、政治戦略)に組み込まれるにつれて、アカウント侵害は独自のプロンプト、会話履歴、およびアップロードされたドキュメントを流出させるための直接的なルートになります。OpenAIのこの動きは、AIプラットフォームプロバイダーがChatGPTアカウントをメールやクラウドストレージアカウントと類似した高価値ターゲットとして認識していることを示しています。この機能はOpenAIのCodex脆弱性スキャナーのユーザーも保護し、セキュリティツール自体が標的になる可能性があることへの懸念を示しています。
適用範囲
機密作業(法務、財務、HR、M&A デューデリジェンス)にChatGPTの使用を従業員に許可する組織は、それらの役割に対して高度なアカウントセキュリティを必須にするかどうかを評価する必要があります。セキュリティチームは、特にOrganizationalなChatGPT TeamまたはEnterpriseインスタンスへのアクセス権を持つユーザーに対して、既存のアカウント侵害検出とインシデント対応プレイブックがAIプラットフォームアカウントをカバーしているかどうかを評価する必要があります。