OpenAI Advanced Account Security の実装詳細とエンジニアが今すぐできること
OpenAIが2026年4月30日に発表したAdvanced Account Securityは、ChatGPTとCodexアカウントに対する高度なセキュリティ保護機能だ。この機能は、デジタル攻撃のリスクが高いユーザーや最強のアカウント保護を求めるユーザー向けのオプトイン設定として提供される。
何が変わったか
従来のパスワードベース認証から、フィッシング耐性のある認証方式への移行が可能になった。Advanced Account Securityを有効にすると、パスワードベースのログインが無効化され、パスキーまたは物理セキュリティキーが必須となる。
OpenAIは「ジャーナリスト、選出された公職者、政治的反体制派、研究者、そして特にセキュリティを重視する人々」を主要なターゲットユーザーとして挙げている。これらのユーザーにとって、ChatGPTアカウントは機密性の高い個人的・職業的コンテキストを保持し、接続されたツールやワークフローの中心となる可能性がある。
セキュリティ機能の詳細
Advanced Account Securityは4つの主要な保護レイヤーを提供する。
強化されたサインイン方式では、パスキーまたは物理セキュリティキーが必須となり、パスワードベースログインが無効化される。これにより、フィッシング耐性のあるサインインが最も必要とするユーザーのデフォルトとなる。
より安全なアカウント復旧機能では、ユーザーのメールアカウントや電話番号が侵害された場合のリスクを軽減する。攻撃者がメールやSMSベースの復旧を通じてChatGPTアカウントへのアクセスを試みることを防ぐ仕組みが実装されている。
OpenAIはYubicoとのパートナーシップを通じて、フィッシング耐性認証をより利用しやすくしている。また、サイバーセキュリティ分野での「Trusted Access」保護も強化されている。
エンジニアが今日から実践できること
ChatGPTアカウントでAdvanced Account Securityを有効にするには、WebブラウザでChatGPTにログインし、アカウント設定のSecurityセクションからオプトインする。この保護は、同じログインでアクセスするChatGPTとCodexの両方のアカウントに適用される。
物理セキュリティキーを持っていない場合は、YubiKeyなどのFIDO2対応デバイスの購入を検討する価値がある。パスキー対応デバイス(iPhone、Android、Windows Hello対応PC)があれば、すぐに設定を開始できる。
重要な注意点として、Advanced Account Securityの強化された保護には、アカウント復旧に対する責任の増大が伴う。従来の復旧方法が制限されるため、セキュリティキーやパスキーの管理がより重要になる。
(出典: Introducing Advanced Account Security)
まとめ
- ChatGPTとCodexアカウントでAdvanced Account Securityを有効化すれば、パスキーまたは物理セキュリティキーによるフィッシング耐性認証を実現できる
- WebブラウザのChatGPTアカウント設定のSecurityセクションから今すぐオプトインして、パスワードベース攻撃からアカウントを保護できる
- YubiKeyなどのFIDO2対応セキュリティキーを導入することで、メール・SMS復旧攻撃のリスクを大幅に軽減できる
- 機密性の高い業務でChatGPTを使用するジャーナリスト、研究者、政治関係者は、この機能で職業的リスクを軽減できる