ChatGPTに「高度なアカウントセキュリティ」　パスキーなどで乗っ取り対策強化

OpenAIは30日(米国時間)、ChatGPTアカウント向けの新設定「高度なアカウント セキュリティ」を提供開始した。Web版ChatGPTのセキュリティ設定から登録でき、同じログインで利用するCodexにも保護が適用される。

同設定は、フィッシングや盗まれたパスワードによるアカウント乗っ取りへの対策を強めるもの。登録すると、すべてのデバイスからログアウトされ、再度ログインが必要になる。

登録後は、パスワードによるログインが無効化され、パスキーや物理セキュリティキーによるサインインが必須となる。そのため、パスワードを盗まれた場合でも攻撃者のサインインを防ぎやすくする。アカウント復旧も厳格化され、バックアップ用のパスキー、セキュリティキー、復旧キーなど、より強い復旧手段を使う仕組みになる。

セッション管理も強化する。盗まれた認証情報を使える時間を短くするため、サインインセッションを短縮し、一定時間ごとに再度サインインを求める。新しいデバイスでログインがあった場合は通知を送り、ユーザーはアクティブなセッションの確認やサインアウトを行なえる。

高度なアカウント セキュリティが有効な間、会話はOpenAIモデルの学習には使用されない。物理セキュリティキーはFIDOに準拠した製品を利用できる。

高度なアカウント セキュリティでは、メールやSMSを使った復旧が制限される。メールアカウントや電話番号が不正利用された場合に、ChatGPTアカウントの復旧手段として悪用されることを防ぐため。復旧には、バックアップ用のパスキー、セキュリティキー、復旧キーなど、より安全性の高い手段が必要になる。

このため、登録後はOpenAI Supportによるアカウント復旧支援を受けられない。復旧キーや予備の認証手段を失った場合、アカウント復旧が難しくなるため、登録前に復旧手段を確認しておく必要がある。