タグアーカイブ 多要素認証

  1. ホーム   /  タグ付きの投稿: "多要素認証"
OpenAIが高度なアカウント保護機能を発表、パスワードレス認証を標準化
2026年5月5日 0

OpenAIが高度なアカウント保護機能を発表、パスワードレス認証を標準化

OpenAIは2026年4月30日、ChatGPTアカウントのための新たな保護オプション「Advanced Account Security(高度なアカウントセキュリティ)」の提供を開始した。ChatGPTとCodexの両方に適用される、フィッシング耐性を備えた認証手段を標準化する設定だ。特にジャーナリストや研究者、政治家など、高度な標的型攻撃のリスクに晒されるユーザーを主な対象としている。

この設定を有効にすると、パスワードによるログインが無効化され、パスキーまたは物理セキュリティキーが必須になる。同時に、メールやSMSによるアカウント復旧も停止される。OpenAIのサポートチームでさえ、この設定を有効にしたアカウントの復旧支援はできない仕様だ。セキュリティと引き換えに自己責任の範囲が拡大する点が特徴といえる。

Advanced Account Securityとは何か、そしてなぜ今必要なのか

Advanced Account Securityとは何か、そしてなぜ今必要なのか

ChatGPTは個人の相談事から業務の自動化まで利用範囲が急拡大している。アカウントには長期間にわたる会話履歴、個人情報、接続された外部ツールの認証情報などが蓄積される。OpenAIのブログ記事では「時間の経過とともに、ChatGPTアカウントは機密性の高い個人情報や業務コンテキストを保持し、接続されたツールやワークフローの中心に位置するようになる」と指摘されている。

フィッシング攻撃やセッション乗っ取りによってAIアカウントが侵害された場合、単なるパスワード漏洩以上の被害が想定される。過去の会話から企業秘密が推測されたり、APIキーや連携ツール経由で二次被害が広がるリスクがある。この新機能は、そうしたアカウント乗っ取り(Account Takeover)の脅威に対抗するための総合的な防御策だ。

Before:従来のアカウント保護
ログイン認証はパスワードが主体(フィッシング詐欺で漏洩しやすい)
SMSやメールでアカウントを復旧可能(SIMスワップやメール侵害のリスク)
セッション有効期限が長い(デバイス紛失時のリスクが高い)
After:Advanced Account Security 有効化後
パスキーまたは物理キーが必須(フィッシング耐性あり)
復旧はバックアップキーのみ(サポートチームでも復旧不可)
セッション短縮+ログイン通知あり(セッション管理画面で監視可能)
従来の設定(パスワード+SMS復旧)  新機能有効化後(フィッシング耐性認証+自己管理復旧)

上記の比較で示したように、認証手段と復旧フローの両面で防御が強化される。重要なのは、この設定がOpenAIの「Cybersecurity Action Plan(サイバーセキュリティ行動計画)」の一環であることだ。同社は国家安全保障や重要システムの保護に貢献する技術へのアクセス拡大を掲げており、本機能の提供はその具体的な施策にあたる。

標的になりやすいユーザー層とは

OpenAIのブログ記事では、ジャーナリスト、選挙で選ばれた公職者、政治的反体制活動家、研究者、そして「特にセキュリティ意識の高い人々」が具体的な対象として挙げられている。こうした層は国家支援のハッキンググループや高度なソーシャルエンジニアリング攻撃の標的になりやすく、標準的なパスワード認証やSMS認証では防御が不十分だ。

フィッシング攻撃では、精巧な偽ログインページでパスワードやワンタイムコードを入力させ、その情報を攻撃者がリアルタイムで転送する手法(中間者攻撃)が多用される。こうした攻撃に対し、FIDO(Fast IDentity Online)規格に準拠したパスキーや物理セキュリティキーは、ドメイン名と秘密鍵が数学的に結びつく仕組みで偽サイトへの認証情報入力を根本的に阻止する。

4つの柱で構成される保護メカニズム

4つの柱で構成される保護メカニズム

Advanced Account Securityは単一の機能ではなく、認証から復旧、セッション管理、プライバシー設定に至るまで、4つの独立したセキュリティ強化策を一括で適用するパッケージだ。ここでは各要素を詳しく解説する。

1. パスワードレス認証の強制

この設定を有効にすると、パスワードによるログインが完全に無効化される。以降はパスキー(生体認証やデバイスPINを利用したFIDO認証情報)か、YubiKeyのような物理セキュリティキーのいずれかでしかログインできなくなる。これにより、フィッシングに強い認証がデフォルトになるわけだ。

パスキーとは、公開鍵暗号方式を応用した新しい認証技術である。簡単に説明すると、ユーザーのデバイス内に秘密鍵が安全に保管され、サービス側に公開鍵が登録される仕組みだ。ログイン時には生体認証やデバイスロック解除で本人確認が行われ、偽サイトでは秘密鍵が応答しないためフィッシングが成立しない。パスワード管理の手間もなくなる点が実務上の利点として大きい。

2. アカウント復旧手段の厳格化

通常のChatGPTアカウントでは、メールアドレスや電話番号を使ってパスワードをリセットし、アカウントへのアクセスを復旧できる。しかし攻撃者がメールアカウントを侵害したり、SIMスワップ(携帯電話番号の乗っ取り)を行った場合、この復旧経路自体が弱点になりうる。

Advanced Account Securityを有効にすると、メールとSMSによる復旧が無効化される。代わりにバックアップ用のパスキー、セキュリティキー、またはリカバリーキー(事前に発行される使い切りの文字列)のいずれかでしか復旧できなくなる。OpenAIのブログ記事では「復旧がこれらのより安全な手段に制限されるため、OpenAIサポートは本機能を有効化したユーザーのアカウント復旧を支援できない」と明記されている。利便性と引き換えに、復旧は完全に自己責任になる点を理解しておく必要がある。

3. セッション管理と通知

サインイン後のセッション有効期間が短縮される。これはデバイスの紛失や盗難、あるいは社内システム上でセッションが残ったままになるリスクを低減する狙いがある。仮にアクティブなセッションが侵害されたとしても、攻撃者が悪用できる時間枠が狭まる。

加えて、アカウントに新しいログインが発生するたびに警告通知が届くようになる。ユーザーは自身のアカウントにサインインしている全デバイスのアクティブセッションを一覧表示し、不要なセッションを手動で終了させることも可能だ。これにより、異常なログインを早期に検知し対処できる。

セッション管理の流れ
新しいログイン発生
ユーザーにアラート通知が届く
セッション管理画面で全デバイスを確認
不審なセッションを即座に切断
※実際の管理画面上では、デバイス名、ログイン日時、IPアドレスが確認できる。

4. モデル学習データからの自動除外

機密性の高い情報を扱うユーザーの中には、自身の会話がAIモデルの学習に使われることを望まないケースがある。Advanced Account Securityを有効にすると、この設定が自動的に適用され、該当アカウントの会話データはOpenAIのモデル訓練に使用されなくなる。通常は手動でオプトアウト設定を行う必要があるが、セキュリティ強化機能を有効にすることで同時にプライバシー保護も担保される設計だ。

Yubicoとの提携と物理セキュリティキーの提供

Yubicoとの提携と物理セキュリティキーの提供

OpenAIはハードウェア認証のリーディングカンパニーであるYubicoと提携し、Advanced Account Securityの利用者向けに割引価格のセキュリティキーバンドルを提供する。具体的には、ノートPCに挿しっぱなしで日常的な認証に使う「YubiKey C Nano」と、バックアップおよびスマートフォン認証用の「YubiKey C NFC」の2本セットだ。

物理セキュリティキーは、フィッシング攻撃に対する最も強力な防御手段のひとつとされる。偽のログインページでは正しい認証応答を生成できず、仮にユーザーが騙されて違うサイトでキーをタッチしても、認証情報が盗まれることはない。OpenAIのブログ記事では、この割引バンドルを「Advanced Account Securityの利用者向け」としながらも、すべての対象ユーザーがウェブ版ChatGPTのセキュリティ設定から購入できるとも述べている。FIDO準拠の他社製セキュリティキーや、ソフトウェアベースのパスキーも併用可能だ。

Codexおよびエンタープライズ利用への影響

Codexおよびエンタープライズ利用への影響

今回の機能はChatGPTだけでなく、Codexアカウントにも保護を適用する。Codexは自然言語からコードを生成する開発者向けツールで、APIキーや本番環境の設定情報など、侵害された場合の影響が極めて大きい情報を扱う。OpenAIはCodexについて「開発者がアイデアを動作するソフトウェアに変える方法を変革している」と位置づけており、そのアカウント保護は開発者コミュニティ全体のセキュリティに直結する。

さらにOpenAIは、サイバーセキュリティ分野の検証済み防御者に対して最も高度なモデルへのアクセスを提供する「Trusted Access for Cyber」プログラムを展開している。2026年6月1日以降、このプログラムに参加する個人メンバーはAdvanced Account Securityの有効化が必須になる。組織向けには、シングルサインオンのワークフローにフィッシング耐性のある認証が組み込まれていることを証明する代替手段も用意される。

OpenAIのブログ記事では「ChatGPTの広範な消費者リーチは、職場への強力な流通チャネルを生み出している。需要は基本的なモデルアクセスから、ビジネス運営を再構築するインテリジェントシステムへと急速に移行している」と述べられており、個人利用から業務利用への広がりを背景に、エンタープライズ環境へのセキュリティ対策拡大も示唆されている。

アカウント種別ごとの影響
一般ChatGPTユーザー
任意でのオプトイン。セキュリティ設定画面から有効化。
Codex利用開発者
同一ログインで保護が適用される。APIキーやコード資産も防御対象。
Trusted Access for Cyber参加者
2026年6月1日から有効化が必須。個人は強制、組織は代替証明も可。

この記事のポイント

  • OpenAIがChatGPTとCodex向けに「Advanced Account Security」を提供開始。アカウント乗っ取り対策を強化するオプトイン設定だ
  • パスワードログインを無効化し、パスキーまたは物理セキュリティキーを必須にする。フィッシング耐性が飛躍的に向上する
  • SMSやメールによるアカウント復旧を停止。復旧はバックアップキーでのみ可能で、サポートによる復旧支援も受けられなくなる
  • Yubicoと提携し、2本組のセキュリティキーバンドルを割引価格で提供。FIDO準拠の他社製品も利用可能だ
  • Trusted Access for Cyber参加者は2026年6月1日以降、本機能の有効化が必須となる
海田 洋祐
, , , , , ,
AI・開発支援

メニュー

会社概要
事業紹介
社名の由来
JVパートナー募集

ウェブ開発 最新ニュース

B to B のご提案

事業譲渡(M&A)
卸売販売
アフィリエイト

その他

関連サイト
特定商取引法に基づく表示
プライバシーポリシー
お問い合わせ

Copyright 株式会社A&Gウェブ - ライバルには、ひみつ。 All rights reserved.