【緊急】2000万ものOpenAIアカウントのログイン情報が売られている？パスワード変更と2段階要素を再チェック

OpenAIに大規模なハッキングの噂。「2,000万ものOpenAIアカウントのログイン資格情報（電子メールとパスワード）を持ってるよ。欲しい人はお金を払ってね」と言っていたユーザーがいた模様。

🚨データ侵害アラート - OpenAI

脅威アクターは、2,000 万の OpenAI アカウントのログイン資格情報 (電子メールとパスワード) を所有していると主張しています。

サンプルが提供されており、さらに数ドルで提供されています。

これらの主張の確認または否定はまだ検証されていません。

投稿の翻訳:

[2000万OpenAI] 大量のOpenAIアカウントコード

OpenAI がアカウントを一括で検証する必要があるかもしれないと気づいたとき、私のパスワードは隠されたままではいられないと分かりました。私は OpenAI アカウントのアクセス コードを 2,000 万以上持っています。ご希望であれば、私に連絡してください。これは宝物であり、イエス様もそう思っています。

🚨Data Breach Alert - OpenAI

A threat actor claims to be in possession of login credentials (email and password) for 20 million OpenAI accounts.

A sample has been provided, and more are being offered for a few dollars.

The confirmation or denial of these claims has yet to be… pic.twitter.com/8risU1xKDJ

— HackManac (@H4ckManac) February 6, 2025

すでにスレッドは削除されているようで、真偽は定かではありません。OpanAI公式による確認も行われていません。ただ、有志の方の情報によると、サンプルとして公開されたすべての電子メールアドレスに連絡済み（ただし、あくまでサンプルのみ）。

とはいえ、ガチ流出だったら控えめに言っても大事件なので、僕はすでにOpenAIアカウント（Googleアカウント）のパスワード更新と2段階要素の再確認を行いました。

この OpenAI の侵害が正当であるとする証拠はありません。

ログイン資格情報のサンプルとされるすべての電子メール アドレスに連絡しました。

少なくとも 2 つのアドレスが無効でした。このユーザーがフォーラムに投稿した他の唯一の投稿は、Stealer ログに関するものです。このスレッドも削除されました。

No evidence this alleged OpenAI breach is legitimate.

Contacted every email address from the purported sample of login credentials.

At least 2 addresses were invalid. The user's only other post on the forum is for a stealer log. Thread has since been deleted as well. https://t.co/yKpmxKQhsP

— Mikael Thalen (@MikaelThalen) February 6, 2025

Independentによると、ChatGPTは最近大規模なデータ侵害を受けた可能性がある。まだ公式には確認されていない。

According to Independent, ChatGPT may had a massive data breach recently. Not confirmed yet officially pic.twitter.com/oLkEJatzls

— TestingCatalog News 🗞 (@testingcatalog) February 7, 2025

中国AIにはやんややんや言うのに、ハッキングへの脅威に対してはだんまりなの謎

中国AIに対してはやんややんや言うのに、ハッキングの脅威に対してはだんまりなの、なんでなん。

いや、本当に中国AIのDeepSeekとかに対して「個人のプライバシーが──」とか「中国AIを使う人はリテラシーが──」とか言う人に限って、肝心のセキュリティ対策が甘々なの、なんでなん。パスワードを使い回したり、面倒だからと2段階認証を未設定だったりする人にネットリテラシーがどうこう言われたくないと思うのは僕だけだろうか。

もちろん、中国政府のデータ管理やプライバシーの扱いに慎重になるのは大事だし、警戒すること自体が間違いだとは思いません。中国の法制度や企業のデータ共有の可能性を考えれば、そのリスクを認識するのは妥当なことですし。しかし、それにばかり気を取られて、身近なサイバーセキュリティの対策を怠っているのなら、それは本末転倒じゃないかとも思うんですよね。

AIの進化とともに詐欺やハッキングの手法もどんどん高度化しています。Deepfakeを使った詐欺、フィッシングの自動化、個人情報を狙った標的型攻撃──こういった脅威はすでに現実のものになっているわけで。だからこそ、まずは自分と自分の大切な人を守るための対策をするほうが先じゃないのかと思うのです。

「中国AIを警戒する」のと「自分のセキュリティ対策を徹底する」のは両立できるはずで、むしろそうあるべき。 どちらか一方だけに偏るのではなく、両方の視点を持つことが大事なんじゃないでしょうか。──という独り言。