OpenAIユーザーのメアドや位置情報が流出したことが判明、データ分析サービス経由でAPIユーザーの個人情報が流出

OpenAIが一部のユーザーの名前やメールアドレス、位置情報などを含む個人情報が流出したことを発表しました。流出はOpenAIが使用していたデータ分析サービス「Mixpanel」のセキュリティインシデントが原因で、OpenAIのシステムそのものが攻撃されたわけではないとのことです。

What to know about a recent Mixpanel security incident | OpenAI
https://openai.com/index/mixpanel-incident/

Mixpanelはユーザーの製品使用状況を分析できるサービスで、OpenAIはAPI製品の使用状況分析にMixpanelを用いていました。このMixpanelが2025年11月9日に外部からの不正アクセスを受け、顧客識別情報や分析情報を含むデータセットが外部に流出したことが判明しました。OpenAIは2025年11月25日に影響を受けたデータの詳細をMixpanelと共有し、攻撃の事実を2025年11月26日に公表しました。

流出した可能性のあるデータは以下の通り。
・APIユーザーの名前
・APIユーザーのメールアドレス
・APIユーザーのブラウザから取得された位置情報(国・州・市など)
・APIユーザーが使っていたOSおよびブラウザ
・参照ウェブサイト
・APIアカウントに紐付けられていたユーザーIDもしくは組織ID

OpenAIは影響を受けた組織や個人に対する通知を進めています。また、Mixpanelの使用はすでに中止しており、その他の使用中の製品についても拡張的なセキュリティレビューを実施したとのこと。

流出した情報に名前やメールアドレス、ユーザーIDなどが含まれていたことから、影響を受けるユーザーにはOpenAIの関係者を装ったフィッシング攻撃などのリスクが生じています。OpenAIは「OpenAIがメールやテキストを通じてパスワード・APIキー・認証コードといった情報の開示を求めることはありません」と述べつつ、以下の対策を呼びかけています。

・予期しないメールやメッセージに注意する。特にリンクや添付ファイルを含むものに注意する
・OpenAIから送信されたと主張するメッセージのドメインをダブルチェックする
・多要素認証を有効化する

なお、今回流出した情報にパスワードやAPIキーは含まれおらず、パスワードやAPIキーの変更は推奨されていません。