2025年11月、データ分析プロバイダーMixpanelが標的型スミッシング攻撃を受け、その結果として、人工知能の巨人OpenAIと大手アダルトエンターテイメントプラットフォームPornHubを含む複数の顧客の機密データが流出するという重大なセキュリティインシデントが発生しました。この事件は、現代のデジタルエコシステムにおいて、第三者ベンダーが持つサプライチェーンリスクの脆弱性を改めて浮き彫りにしています。攻撃者はMixpanelのシステムに不正アクセスし、顧客の分析データの一部を窃取したと報じられています。
このインシデントは、単一の企業システムが堅牢であっても、その外部パートナーのセキュリティ体制が全体の防御力を左右するという、サプライチェーン攻撃の典型的な脅威を示しています。Mixpanelは、ウェブ分析サービスを通じてOpenAIのAPI製品のフロントエンドインターフェースで利用されており、製品利用状況の把握と改善に貢献していました。しかし、この連携が予期せぬ形でデータ流出の経路となってしまったのです。OpenAIは自社のシステムが直接侵害されたわけではないと強調していますが、顧客データがMixpanel経由で漏洩した事実は、その責任を問われることとなりました。
Mixpanelは2025年11月8日にスミッシングキャンペーンを検知し、迅速に不正アクセスを封じ込め、影響を受けたユーザーアカウントを保護したと発表しました。しかし、この攻撃によって既にデータが窃取されており、その影響は広範囲に及びました。特に、OpenAIのAPI製品を利用していた一部のユーザーや、ヘルプセンターに問い合わせを行った、あるいはplatform.openai.comにログインしていたChatGPTユーザーのデータが含まれていたことが後に判明し、事態の深刻さを増しました。この一連の出来事は、企業が自社のセキュリティだけでなく、サプライチェーン全体のセキュリティ体制を厳格に評価し、管理することの重要性を痛感させるものとなりました。
この事件の背後にいたのは、悪名高い脅威アクターグループ「ShinyHunters」でした。彼らは2025年11月8日にMixpanelの従業員を標的としたスミッシング攻撃を仕掛け、これにより不正なアクセス権を獲得しました。この手口は、MITRE ATT&CKフレームワークのT1566.003(フィッシング:サービス経由のスピアーフィッシング)に分類されるもので、SMSメッセージを悪用して従業員を欺き、認証情報を詐取するという巧妙な社会工学的手法が用いられました。ShinyHuntersは、この侵害された認証情報(T1078:有効なアカウント)を悪用し、Mixpanelのシステム内部に侵入しました。
一度システムに侵入すると、攻撃者は履歴分析データリポジトリにアクセスし、特定の顧客に関連する機密データを標的としました。彼らが窃取したとされるデータセットは94GBにも及び、2億件以上の記録が含まれていたと主張されています。このデータ窃取は、情報リポジトリからのデータ(T1213)の収集と、コマンド&コントロールチャネルを介したデータ流出(T1041)という典型的な攻撃パターンに従って実行されました。ShinyHuntersは、SaaSおよびサプライチェーンプロバイダーを標的とすることで知られており、過去にはSalesforce統合企業への攻撃や、Oracle E-Business Suiteのゼロデイ脆弱性(CVE-2025-61884)の悪用、さらにはランサムウェア・アズ・ア・サービス(RaaS)プラットフォーム「ShinySpid3r」の開発にも関与しています。彼らの戦略は、サプライチェーンの弱いリンクを突き、機密データへのアクセスを狙うことにあります。
OpenAIは、このMixpanelのセキュリティインシデントを受けて、2025年11月26日のブログ投稿で情報流出の事実を公表しました。当初、このインシデントはOpenAIのAPI製品の一部ユーザーに関連する限定的な分析データに影響を与え、ChatGPTユーザーには影響がないと説明されていました。しかし、2025年12月19日には、ヘルプセンターにチケットを提出した、またはplatform.openai.comにログインしていた一部のChatGPTユーザーも影響を受けたことが追記され、情報の透明性に対するOpenAIの姿勢が示されました。影響を受けたデータには、アカウントに提供された氏名、関連するメールアドレス、ブラウザに基づくおおよその粗い位置情報(都市、州、国)、アカウントへのアクセスに使用されたOSとブラウザ、参照元ウェブサイト、およびAPIアカウントに関連付けられた組織IDまたはユーザーIDが含まれていました。
OpenAIは、チャット内容、APIリクエスト、API利用データ、パスワード、認証情報、APIキー、支払い詳細、政府発行IDは一切侵害または露出されていないと強調しました。このインシデントへの対応として、OpenAIはMixpanelのプロダクションサービスからの削除を直ちに行い、影響を受けたデータセットのレビューを開始しました。さらに、Mixpanelとの提携を終了し、ベンダーエコシステム全体でセキュリティレビューを拡大し、すべてのパートナーおよびベンダーに対するセキュリティ要件を引き上げることを発表しました。OpenAIは、影響を受けた組織、管理者、およびユーザーに対して直接通知を行い、フィッシング詐欺やソーシャルエンジニアリング攻撃に対する警戒を呼びかけました。
Mixpanelの侵害は、OpenAIだけでなく、PornHub Premiumのユーザーにも深刻な影響を及ぼしました。ShinyHuntersは、Mixpanelの顧客であるPornHubに対しても恐喝キャンペーンを開始し、窃取したデータを公開すると脅して身代金を要求しました。ShinyHuntersが主張する2億件以上の記録、94GBのデータには、PornHub Premiumメンバーの詳細な検索、視聴、ダウンロード履歴が含まれており、メールアドレス、アクティビティの種類、ユーザーの位置情報、動画のURLと名前、動画に関連するキーワード、ユーザーアクションのタイムスタンプといった極めて機密性の高い情報が含まれていました。ジャーナリストによるサンプルデータのレビューでも、これらの情報が実際に存在することが確認されています。
PornHubは2025年12月12日に公式声明を発表し、一部のPremiumユーザーのみが影響を受け、パスワード、支払い詳細、金融情報には影響がないことを確認しました。さらに重要なのは、流出したデータは少なくとも4年前のものであり、PornHubがMixpanelのサービス利用を2021年に停止していたことが明らかになった点です。この事実は、第三者ベンダーが過去のデータを長期間保持することの潜在的なリスクを浮き彫りにしました。たとえサービス利用を停止しても、ベンダー側に残された履歴データが将来的な侵害の標的となり得ることを示しており、データ保持ポリシーの厳格な管理が不可欠であることを示唆しています。
この一連のデータ流出事件は、法的責任の追及にも発展しています。2025年12月1日(月曜日)、カリフォルニア州の住民であるジョン・ウッドワード氏が、OpenAIとMixpanelに対し、ユーザーデータの保護義務を怠ったとして集団訴訟を提起しました。ブルームバーグ・ローの報道によると、この訴訟は損害賠償と、セキュリティ対策の改善を義務付ける差止命令を求めています。この訴訟は、企業が第三者ベンダーにデータを委託する際の法的責任の範囲と、その管理体制の不備がもたらすリスクを明確に問いかけるものです。
第三者ベンダーを介したデータ侵害は、近年増加の一途をたどっています。Verizonが2024年10月31日までの1年間で報告したデータ侵害の30%が、サプライヤー、ベンダー、ホスティングパートナー、アウトソースされたITサポートプロバイダーといった第三者が関与していると指摘しています。専門家は、企業に対する第三者サプライヤーへのサイバー攻撃の件数が今後さらに増加すると予測しており、今回のOpenAIとMixpanelの事例は、この傾向を裏付けるものです。企業は、自社のセキュリティ対策だけでなく、サプライチェーン全体のセキュリティ体制を包括的に見直し、契約上の要件を強化することが喫緊の課題となっています。
今回のMixpanelを起点とした一連のインシデントは、すべての組織に対し、サプライチェーン全体にわたる多層的な防御の必要性を強く訴えかけています。Rescanaは、機密データ、特に履歴分析データへの第三者ベンダーのアクセスを直ちに見直し、制限すること、そしてデータ保持ポリシーを定期的に監査し、強制することの重要性を強調しています。また、すべての機密データアクセスアカウントに対して多要素認証(MFA)を実装し、スミッシングなどのソーシャルエンジニアリング攻撃を認識するための従業員トレーニングを強化することが推奨されています。
OpenAIもまた、影響を受けた情報がフィッシングやソーシャルエンジニアリング攻撃に悪用される可能性があるとして、ユーザーに警戒を促しています。ESETのグローバルサイバーセキュリティアドバイザーであるジェイク・ムーア氏は、OpenAIが迅速にユーザーに警告し、Mixpanelとの関係を断ち切ったことを「迅速な動き」として評価しました。多くの組織がセキュリティインシデントを最小限に抑えようとする中で、OpenAIの透明性のある対応は、ブランドイメージの維持と信頼構築において極めて重要であると指摘されています。サプライチェーンの脆弱性は今後も主要な攻撃ベクトルであり続けるため、企業は継続的な警戒と強固なセキュリティ戦略の構築が求められます。
参考情報
本記事は以下の情報源を参考に作成されました:
- -OpenAI and Vendor Mixpanel Face Lawsuit After Data Breach - https://www.pymnts.com/cybersecurity/2025/openai-and-vendor-mixpanel-face-lawsuit-after-data-breach/
- -What to know about a recent Mixpanel security incident | OpenAI - https://openai.com/index/mixpanel-incident/
- -PornHub Premium User Data Breach: Mixpanel Hack Leads to Extortion and Privacy Risks - https://www.rescana.com/post/pornhub-premium-user-data-breach-mixpanel-hack-leads-to-extortion-and-privacy-risks
- -OpenAI hailed for ‘swift move’ in terminating Mixpanel ties after data breach hits developers | IT Pro - https://www.itpro.com/security/data-breaches/openai-mixpanel-data-breach-response