OpenAI、ChatGPT にフィッシング耐性強化の「高度アカウントセキュリティ」を導入

概要

OpenAI は 2026 年 4 月 30 日、ChatGPT アカウント向けのオプトイン型セキュリティ強化機能「Advanced Account Security（高度アカウントセキュリティ）」を導入したと発表した。フィッシング耐性のあるパスキーや物理セキュリティキーを必須とし、パスワードやメール・SMS 復旧を無効化する。ジャーナリスト・政治家・研究者などリスクの高いユーザー層を主な対象として設計されている。

※本記事は公開情報をもとに編集部が再構成したサマリです。一次情報は出典欄をご参照ください。

事実のポイント

• 認証強化: パスキーまたは物理セキュリティキー（FIDO2）でのログインを必須化し、パスワードベースのログインを無効化
• 復旧オプションの制限: メールやSMSによるアカウント復旧を無効化。バックアップパスキー・セキュリティキー・リカバリキーのみ許可
• セッション管理: サインインセッションを短縮化してセッション乗っ取りリスクを軽減。ログイン時の通知とアクティブセッション管理画面を追加
• 学習除外: 高度セキュリティを有効化したユーザーの会話は AI モデルのトレーニングに使用されない
• Yubico 提携: OpenAI と Yubico が提携。YubiKey 2 本セットを通常価格 126 ドルから 68 ドルで提供
• 必須化スケジュール: 2026 年 6 月 1 日から、最も高性能なモデルへのアクセスを許可する「Trusted Access for Cyber」プログラム参加者に対して必須化

用語・背景の補足

パスキー（Passkey） は FIDO アライアンスが策定したパスワードレス認証規格。デバイス内の生体認証（指紋・顔認証）や PIN と暗号鍵を組み合わせており、フィッシング攻撃に対して非常に強固。

YubiKey は Yubico 社が提供する物理セキュリティキー（USB や NFC 対応）で、FIDO2 規格に準拠している。銀行や政府機関など高セキュリティ環境での利用実績が多い。

解説

AI サービスのアカウントが標的となるフィッシング・ソーシャルエンジニアリング攻撃が増加する中、パスワードレス認証の普及は業界的な課題となっている。OpenAI が主に「リスクの高いユーザー層」向けのオプトイン機能として提供する形は、ハードルを下げながら高セキュリティを確保するアプローチとして評価できる。一方で、業務での AI 利用が広がる中、組織内での認証管理ポリシーを整備する重要性が高まっている。

注意点

• オプトイン機能であり、全ユーザーに自動適用されるわけではない
• 高度セキュリティ設定は一度有効化すると元に戻すための条件が厳しくなる

編集部見解

（追記予定）