何が起きたか
OpenAIは、ジャーナリスト、研究者、政治的反体制派、選出された公務員など、標的型ハッキング攻撃のリスクが高いChatGPTユーザー向けに、Advanced Account Securityという新しいオプト イン機能をロールアウトしました。この機能は4つの領域に焦点を当てています:より強力な認証(ハードウェアセキュリティキー、パスキー)、安全なアカウント復旧(メール/SMSをバックアップパスキーと復旧キーに置き換え)、乗っ取りリスクを軽減するための短縮されたサインインセッション、および自動脅威監視です。
なぜ重要か
LLMが機密ワークフロー(法務調査、調査報道、政治戦略)に組み込まれるにつれて、アカウント侵害は所有権のあるプロンプト、会話履歴、アップロードされたドキュメントを流出させるための直接的なルートとなります。OpenAIの動きは、AIプラットフォームプロバイダーがChatGPTアカウントを電子メールやクラウドストレージアカウントに類似した高価値ターゲットとして認識していることを示しています。この機能はOpenAIのCodex脆弱性スキャナーのユーザーも保護し、セキュリティツール自体が標的になる可能性があることへの懸念を示しています。
適用範囲
機密業務(法務、財務、人事、M&Aデューデリジェンス)にChatGPTの使用を従業員に許可している組織は、それらの役職に対してAdvanced Account Securityを義務付けるかどうかを評価する必要があります。セキュリティチームはまた、既存のアカウント乗っ取り検出およびインシデント対応プレイブックがAIプラットフォームアカウント、特に組織のChatGPT TeamまたはEnterpriseインスタンスへのアクセス権を持つユーザーをカバーしているかどうかを評価する必要があります。