OpenAIは2026年4月30日、ChatGPTとCodexのアカウント保護を強化する「Advanced Account Security」を発表。パスワード廃止と物理セキュリティキー必須化によるフィッシング耐性向上、厳格な復旧手続き、セッション管理の見直しなどを実装する。
OpenAIは2026年4月30日(現地時間)、「ChatGPT」のアカウント保護を強化する新しい設定「Advanced Account Security」を発表した。高い攻撃リスクに直面する利用者や、強固な保護を求める層に向けた任意で利用できる設定で、複数の防御機能を一括で有効化できる仕組みだ。登録後は同一ログインで利用する「Codex」にも適用される。
近年、AIは個人的な相談から業務上の重要な用途まで幅広く活用されるようになり、アカウントには機微情報が蓄積されやすい。同社はこうした背景を踏まえ、利用者自身が安全性と利便性の水準を選択できるようにしたと説明する。他方で、強化設定を有効にすると復旧手段が制限されるため、管理責任が増す点にも注意が必要としている。
新設定ではログイン方法が大きく変更される。従来のパスワード方式は無効化され、パスキーや物理セキュリティキーの使用を必須とすることでフィッシング攻撃への耐性を高められる。アカウント復旧も厳格化され、メールやSMSによる再設定は利用できなくなり、バックアップ用のパスキーや専用キー、復旧キーによる手続きに限定される。サポート窓口による復旧支援は実施されない。
セッション管理も見直された。ログイン状態の有効期間を短縮し、端末やセッションが侵害された場合の影響範囲を抑える。ログイン時には通知が送信され、利用者は接続中の端末一覧を確認し、必要に応じて切断できる。加えて、機微情報を扱う利用者に配慮し、会話内容をモデル学習に利用しない設定が自動で適用される。
同社はハードウェア認証の普及を促すため、認証機器メーカーのYubicoと提携した。小型で常時接続可能な「YubiKey C Nano」と、バックアップ用途やモバイル機器対応の「YubiKey C NFC」を組み合わせた製品を優遇価格で提供する。FIDO規格に対応した他社製キーやソフトウェア型パスキーも利用できる。
限定公開中のサイバー分野で高度なモデルにアクセスできる個人の利用者については、2026年6月1日から本設定の有効化が必須となる。組織単位ではシングルサインオンにおいて同等の耐フィッシング認証を導入していることを証明する方法も代替手段として認められるため、本設定の有効化は必須でない。
同社はAI基盤の中核としての役割が拡大する中、安全性確保が重要な課題であると位置付ける。ChatGPTは個人から企業まで幅広く利用され、業務プロセスの中核に組み込まれつつある。開発者はAPIを通じて機能を拡張し、Codexはソフトウェア開発の効率化を促進している。
こうした環境下で、プライバシーと安全性の確保は不可欠といえる。同社は今後も保護機能への投資を継続し、企業利用など他の領域にも展開する方針を示した。新設定は2026年4月30日からWeb版の設定画面で利用可能だ。
