ChatGPT認証流出で問われる社外秘保護と企業AI運用統制

認証流出が社外秘漏洩に変わる構図

ChatGPTの業務利用で見落とされやすいのは、入力した情報が学習に使われるかどうかだけではありません。より現実的な入口は、従業員のアカウント情報、ブラウザに保存された認証情報、共有リンク、会話履歴が同時に盗まれる経路です。2023年には、約10万件のChatGPTアカウント情報が闇市場で確認されたと報じられ、インフォスティーラーと呼ばれる情報窃取型マルウェアの存在が注目されました。

日本企業にとって重要なのは、ChatGPTを「文章作成ツール」としてだけ管理するのでは不十分だという点です。稟議書、契約案、顧客メール、障害報告、ソースコードの断片は、生成AIに入力された瞬間から業務データの一部になります。本稿では、認証情報流出がなぜ社外秘の再露出につながるのか、企業が実務で整えるべきAI統制を整理します。

個人アカウント利用が広げる漏洩経路

インフォスティーラーが奪うブラウザ資産

ChatGPTのログイン情報流出は、OpenAIのシステムが直接破られた場合だけを想定すると見誤ります。多くの認証情報流出は、利用者の端末に入り込んだインフォスティーラーが、ブラウザに保存されたパスワード、Cookie、セッション情報、フォーム履歴をまとめて抜き取る形で起きます。業務端末で個人メール、SNS、拡張機能、私用SaaSを併用しているほど、攻撃者が価値ある認証情報に到達する確率は上がります。

Axiosが報じた偽ChatGPTブラウザ拡張機能の事例では、攻撃者がChrome拡張機能に情報窃取マルウェアを仕込み、個人と企業アカウントを含む大量のログイン情報を集めました。記事では、40,000件のFacebook認証情報に加え、少なくとも6,000件の企業アカウント、7,000件のVPNアカウントがデータベースに含まれていたと説明されています。これは「ChatGPTに似たものを便利そうだから入れる」という行為が、企業ネットワークの入口になり得ることを示しています。

同じ構図は、クラウドデータ基盤の侵害でも確認されています。WIREDは、Snowflake利用企業で相次いだ情報流出について、攻撃者がSnowflake本体を高度に侵害したのではなく、別経路で盗まれたログイン情報を悪用したと報じました。少なくとも165の顧客が影響を受けたとされ、認証情報を守れない企業は、強固なクラウド基盤を使っていても侵害されるという教訓を残しました。

会話履歴が「第二のデータ倉庫」になる危険

ChatGPTの個人アカウントに社外秘を入れている場合、漏れるのはパスワードだけではありません。攻撃者がログインに成功すれば、過去の会話タイトル、入力内容、添付ファイル、カスタムGPTの設定、プロンプト内に含まれる業務文脈を確認できる可能性があります。会話履歴は、従業員本人にはメモ帳のように見えても、攻撃者から見れば企業の業務プロセスを時系列で読む手掛かりです。

問題は、入力される情報の粒度が細かいことです。財務資料を丸ごと入れなくても、売上未達の理由、取引先名、単価、障害原因、未公開機能、採用候補者の評価、法務部門の懸念が断片的に残ります。生成AIは自然文で相談しやすいため、従業員は検索窓より多くの背景情報を打ち込みがちです。その断片を横断的に読めば、攻撃者はフィッシング文面、なりすまし、取引先への詐欺、社内説得に使える情報を得られます。

2026年の研究では、寄付されたChatGPT履歴を分析した結果、ユーザーメッセージの34.5%に何らかの個人情報が含まれていたと報告されています。さらに、明示的な属性情報を除いた会話からでも、年齢、性別、国を高い精度で推定できたとしています。これは個人情報を黒塗りしても、会話の文体、関心、業務文脈から再識別や推測が起こり得ることを示す研究です。企業の社外秘も同じで、社名を伏せただけでは十分ではありません。

契約形態ごとに異なるデータ保護

OpenAIのサービスには、個人向け、Business系、Enterprise、Edu、APIなど複数の利用形態があります。Axiosは、ChatGPT Enterprise、ChatGPT Team、ChatGPT Edu、APIについて、デフォルトでは顧客データがモデル訓練に使われないと整理しています。一方、消費者向けアカウントでは、設定によりモデル改善への利用を制御できます。Temporary Chatは履歴に残らず、モデル訓練にも使われず、一定期間後に削除される扱いです。

この差は、企業のAI統制で決定的です。従業員が個人アカウントで業務を処理している限り、会社は利用規約、データ保持、監査ログ、退職時のアクセス停止、訴訟対応を管理しにくくなります。Enterprise契約を導入しても、現場が個人アカウントを使い続ければ統制の外にデータが残ります。したがって「どのAIを許可するか」だけでなく、「どのアカウントで、どの端末から、どのデータ分類まで入力できるか」を定義する必要があります。

企業AI統制を機能させる設計原則

SSOとMFAを前提にした利用経路

最初に整えるべきなのは、ChatGPTを含む生成AIへのアクセス経路です。社内で認める生成AIは、会社管理のID、シングルサインオン、強固な多要素認証、端末管理と結び付ける必要があります。パスワードだけの個人アカウントを業務利用させる運用は、インフォスティーラーに対して脆弱です。攻撃者が保存パスワードとセッションCookieを得れば、本人のようにログインできる場合があります。

MFAも万能ではありません。攻撃者はフィッシング、MFA疲労攻撃、端末ごとのセッション奪取を使います。そのため、企業側はFIDO2などフィッシング耐性の高い認証、条件付きアクセス、端末証明書、地理的な異常検知を組み合わせるべきです。特に生成AIアカウントは、メールやクラウドストレージほど重要資産に見えにくいため、後回しにされがちです。しかし会話履歴に社外秘が含まれるなら、守るべき水準はコラボレーション基盤と同等です。

退職者や異動者の扱いも重要です。個人アカウントで作成した会話履歴は、会社が削除や引き継ぎを制御しにくくなります。会社契約のワークスペースに集約すれば、ユーザー停止、監査、データ保持、管理者によるポリシー適用が可能になります。SaaS選定ではモデル性能だけでなく、ID連携、監査ログ、DLP連携、保持期間、データ所在地、管理者権限を比較する必要があります。

DLPとプロンプト分類の組み合わせ

生成AI統制は、禁止リストを配るだけでは機能しません。現場は日々、顧客説明、議事録、コードレビュー、障害報告、翻訳、要約にAIを使います。入力を完全に止めるより、情報分類に応じて許可範囲を変えるほうが実務的です。たとえば公開情報、社内限定、機密、個人情報、営業秘密、認証情報、ソースコードを分類し、どの分類をどのAI環境に入力できるかを決めます。

技術的には、CASB、SASE、エンドポイントDLP、ブラウザ分離、プロキシログを組み合わせます。秘密情報の典型パターンであるAPIキー、アクセストークン、顧客ID、メールアドレス、マイナンバー、契約番号、社内プロジェクト名を検知し、入力前に警告またはブロックします。ただしDLPは過検知と未検知が避けられません。現場が回避策を探すほど統制は弱くなるため、許可されたAI環境で業務を完結できる体験も同時に作る必要があります。

プロンプトの分類は、ログを残せばよいという話ではありません。ログ自体が機密データになります。誰が何を入力し、どのモデルがどの外部ツールにアクセスし、どのファイルを読み込んだかを監査できる一方で、ログ閲覧権限を絞る必要があります。セキュリティ部門、法務部門、監査部門が見られる範囲を明確にし、平時の利用分析とインシデント時の調査手順を分ける設計が必要です。

教育は「入力禁止」から「攻撃手口」へ

従業員教育で効果が薄いのは、「機密情報を入力しないでください」という抽象的な注意だけです。攻撃者はChatGPTというブランドを悪用し、偽拡張機能、偽ログイン画面、SEO汚染、SNS広告、無料テンプレート、海賊版ソフトを通じて端末に入ります。教育では、AIツールの使い方だけでなく、どの入口から認証情報が盗まれるかを具体的に示す必要があります。

特に注意すべきはブラウザ拡張機能です。文章要約、プロンプト保存、議事録自動化、画面翻訳などの拡張機能は便利ですが、権限設定によっては閲覧ページ、入力欄、Cookie、クリップボードに触れます。企業は承認済み拡張機能のリストを作り、未承認拡張機能のインストールを制御すべきです。生成AIを禁止しても、拡張機能経由で外部AIにデータが送られるなら統制は崩れます。

ソースコードやAPIキーを扱う開発部門では、さらに細かい教育が必要です。コード断片の相談、エラーログの貼り付け、CIの設定ファイル、顧客環境のスタックトレースには、シークレットや内部構成が混ざります。AI利用ガイドラインは法務文書ではなく、エンジニア、営業、企画、人事がそれぞれの業務で判断できるチェックリストに落とす必要があります。

法務と攻撃面から拡大する残存リスク

訴訟開示と削除済み履歴の扱い

ChatGPTの会話は、利用者が意図しない局面で第三者の目に触れる可能性があります。TechRadarは、ニューヨーク・タイムズとOpenAIの訴訟に関連し、米連邦判事が20百万件のChatGPTログ提出を命じたと報じました。記事によれば、対象は2022年12月から2024年11月までの統計的サンプルで、匿名化などの保護措置が前提とされています。これは、通常のサイバー攻撃とは別に、法的手続きがデータ開示リスクになることを示しています。

Axiosは、OpenAIがTemporary Chatの暗号化を検討していると報じていますが、チャットボットでは提供者自身が会話の処理主体になるため、一般的なエンドツーエンド暗号化とは事情が異なります。Temporary Chatは履歴や訓練利用を抑える選択肢ですが、企業の機密管理を代替するものではありません。法務部門は、AIサービスに入力したデータが契約、保存、削除、訴訟開示、監督官庁対応でどう扱われるかを確認する必要があります。

プロンプト攻撃とAIエージェントの盲点

生成AIのリスクは、アカウント流出だけではありません。NCSCの担当者は、LLMがプロンプト内で命令とデータを本質的に分離できない点を指摘し、プロンプトインジェクションが完全には解消しにくい可能性を警告しています。Check Point Researchが発見したChatGPTの脆弱性では、プロンプトインジェクションとDNS経由のデータ持ち出しを組み合わせ、会話中の情報を気付かれずに外部へ送る手法が報告されました。OpenAIは2026年2月20日に修正したとされています。

AIがブラウザ、メール、ファイル、コード実行環境、社内SaaSに接続するほど、攻撃面は広がります。人間がコピーして貼り付ける時代は、被害範囲を人間の判断で止められました。エージェント型AIが自律的にファイルを読み、外部サイトを開き、APIを呼び出す場合、悪意ある文書やWebページがAIの行動を誘導する余地が生まれます。重要操作には人間の承認を入れ、AIに与える権限は最小限にする必要があります。

経営層が着手すべきAI利用棚卸し

ChatGPTの認証情報流出は、AI部門だけの問題ではありません。端末管理、ID管理、SaaS契約、DLP、法務、教育、インシデント対応がつながって初めて、社外秘の再露出を抑えられます。まず実施すべきなのは、従業員が実際に使っているAIサービス、アカウント種別、入力しているデータ、利用端末、拡張機能、連携SaaSの棚卸しです。

次に、業務で使える公式AI環境を用意し、個人アカウント利用を段階的に減らします。認証はSSOとMFAを前提にし、入力データは分類し、DLPで監視し、ログは必要最小限で保護します。経営層が見るべき指標は、AI利用件数ではなく、管理外アカウント比率、機密入力の検知件数、未承認拡張機能、退職者アカウント処理、インシデント訓練の実施状況です。生成AIを使う速度と、守る仕組みの速度をそろえることが、企業競争力の前提になります。

参考資料:

• Dark web - Wikipedia
• Researchers uncover fake ChatGPT browser extension siphoning off users’ personal info
• How Infostealers Pillaged the World’s Passwords
• Axios AI+ - What OpenAI knows about you
• ChatGPT temporary chats could get encryption, Sam Altman says
• Your ChatGPT chats could be less private than you thought
• OpenAI patches flaw allowing silent data leakage from ChatGPT conversations
• Prompt injection attacks might ‘never be properly mitigated’ UK NCSC warns
• OpenAI confirms new data breach, exposing names, emails, more
• Inferential Privacy Leakage in Anonymized Conversational AI Logs
• Does fine-tuning GPT-3 with the OpenAI API leak personally-identifiable information?
• Multi-step Jailbreaking Privacy Attacks on ChatGPT
• CISA updates secure-by-design guidance based on industry, nonprofit feedback
• Hackers are ditching stolen passwords as AI-powered software attacks rip through global corporate networks faster than ever