ChatGPTの「セキュリティ対策が万全でない」ことが判明。すぐできる、3つの対策
ChatGPTのプライバシー保護とセキュリティ対策がかなりお粗末であることが、先ごろのニュースで明らかになりました。 事の発端は、ChatGPTユーザーのChase Whiteside氏が、自身のチャット履歴に見覚えのない会話ログを複数発見したこと。 真っ先に考えたのは「ChatGPT側が、ほかのユーザーの履歴をほかのアカウントに誤って表示してしまったのではないか」ということでした。
「セキュリティ対策が講じられていない」ことが発覚
どう考えてもバグの仕業であり、ユーザーのチャット履歴やほかの個人情報が漏洩するおそれがある、と心配になりました。 ところが、ChatGPTを開発したOpenAIがこの問題について調査したところ、まったくの他人が、Whiteside氏のアカウントに不正アクセスしたことがわかったのです。 つまり、この謎のログは、不具合によって他人のチャット履歴がWhiteside氏のアカウントに漏れたわけではなく、Whiteside氏のユーザー名を使ってChatGPTを利用したハッカーの仕業だったのです。 OpenAIの調査結果からわかるように、ChatGPTが、あなたのチャット履歴や個人情報を、誤ってほかのユーザーと共有することはありません。 しかし、今回の一件で、ChatGPTアカウントの安全性に大きな問題が存在することが浮き彫りになりました。より正確にいえば、アカウントのセキュリティ対策が存在していないことが明らかになったのです。
課題は「アカウントを安全に保つ選択肢がない」こと
私たちがログインしているウェブサイトやアプリ、サービスのほとんどは、ハッカーやボットがアカウントに不正ログインしないよう、安全策を提供しています。 もっとも一般的なのは、テキストメッセージやメールを使った「2段階認証」と、事前設定したログインコードやほかのアプリを使ってログインを承認する「2ファクタ認証(2FA)」です。 これらの方法は、あなた(あるいはほかの誰か)がログインを試みるたびに、テキストメッセージやメール、プッシュ通知をデバイスに送って、不正アクセスの可能性があることを知らせてくれます。 アカウントへの不正アクセスを防止する方法としては、2段階認証より2FAのほうが効果的です。また、両方とも、パスワードだけに頼るより、安全性は高くなります。 とはいえ、ChatGPTでは残念ながら、2段階認証も2FAも使えません。 だからこそ、Whiteside氏が「大文字、小文字、特殊文字」を組み合わせた9文字のパスワードを設定していたにもかかわらず、同氏のアカウントに他人が不正アクセスすることが可能だったわけです。 パスワードの使い回しが発覚。とはいえ、セキュリティ対策は課題 公平を期すために言っておくと、Whiteside氏がChatGPTへのログイン時に使っていたパスワードは、自身のMicrosoftアカウントと関連づけたものだったそうです。 これは、ログインのセキュリティを巡るサービス利用側の最大の過ちの1つと言えるでしょう。 1つのアカウントに侵入されてしまったら最後、同じログイン情報を使用しているほかのアカウントもまた、不正にアクセスされるおそれが発生するからです。 しかし、たとえハッカーがWhiteside氏のパスワードをまったく知らなかったとしても、ブルートフォース攻撃でしらみつぶしに探せば、Whiteside氏のアカウントに不正アクセスすることはできてしまいます。 ハッカーがどのような手口でWhiteside氏のアカウントに不正アクセスしたにせよ、肝心なのは、二次的な防衛策を整えて、データ漏洩やフィッシング攻撃、スパイウェア、ソーシャルエンジニアリング、パスワードクラッキングソフトウェアなどに対処し、ログイン情報が盗み取られないように対策をする必要があるということです。 パスワードを強力で、他人にはわからないようなものにしておくことは、オンラインセキュリティ対策としてやるべき作業の1つにすぎないのです。