C
月内に
攻撃者がOpenAIの組織招待機能を悪用し、実在する企業を装った偽の組織(テナント)を作成して従業員を誘い込む「毒化テナント攻撃」
📌 一言でいうと
攻撃者がOpenAIの組織招待機能を悪用し、実在する企業を装った偽の組織(テナント)を作成して従業員を誘い込む「毒化テナント攻撃」が確認されました。招待メールはOpenAIの正規ドメインから送信されるため、一見して本物に見えますが、招待者のメールアドレスが企業のドメインと異なる点に注意が必要です。もし従業員がこの偽組織に参加し、内部資料やコードを入力した場合、攻撃者がその情報を閲覧・取得できるリスクがあります。
🔍該当判定
- 社内でChatGPT(OpenAI)を業務利用している
- 社員が個人のメールアドレスやアカウントでOpenAIの組織(Team/Enterpriseプラン等)に参加する運用がある
- OpenAIから「組織への招待メール([email protected])」が届いたが、社内で正式に導入した記憶がない
- 社内でOpenAIの公式組織アカウントを管理する担当者が決まっていない
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. OpenAIからの組織招待メールを受信した際、招待者のメールアドレスが自社の正規ドメインであるかを確認すること。2. 会社が公式に導入した環境であるか、情シス等の管理者に確認してから参加すること。3. 不審な招待メールを報告する社内フローを整備すること。
📧 メール案を見る (社員向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】OpenAI(ChatGPT)の組織招待メールに関する注意について
お疲れさまです。情報システム担当です。
OpenAIの正規の通知メールを装い、偽の社内グループに誘い込んで機密情報を盗み出そうとする攻撃が報告されています。
ご協力をお願いしたいこと:
1. OpenAIから「組織への招待」メールが届いても、すぐにリンクをクリックして参加しないでください。
2. 招待者が自社の社員であるか、また会社が正式に導入したものであるかを必ず管理者に確認してください。
3. 万が一、心当たりのない組織に参加し、社内資料やコードを入力してしまった場合は、至急情報システム担当までご連絡ください。
対応期限: 本日中(確認をお願いします)
お疲れさまです。情報システム担当です。
OpenAIの正規の通知メールを装い、偽の社内グループに誘い込んで機密情報を盗み出そうとする攻撃が報告されています。
ご協力をお願いしたいこと:
1. OpenAIから「組織への招待」メールが届いても、すぐにリンクをクリックして参加しないでください。
2. 招待者が自社の社員であるか、また会社が正式に導入したものであるかを必ず管理者に確認してください。
3. 万が一、心当たりのない組織に参加し、社内資料やコードを入力してしまった場合は、至急情報システム担当までご連絡ください。
対応期限: 本日中(確認をお願いします)
Subject: [Security Alert] Caution Regarding OpenAI Organization Invitations
Hi everyone,
We have received reports of attacks where users are tricked into joining fake OpenAI organizations via legitimate-looking invitation emails to steal sensitive data.
What we need you to do:
1. Do not click on invitation links in emails from OpenAI unless you are certain of the source.
2. Always verify with the IT department whether a specific OpenAI organization is officially sanctioned by the company before joining.
3. If you have already joined an unknown organization and entered company data or code, please notify the IT security team immediately.
Deadline: Immediate
Hi everyone,
We have received reports of attacks where users are tricked into joining fake OpenAI organizations via legitimate-looking invitation emails to steal sensitive data.
What we need you to do:
1. Do not click on invitation links in emails from OpenAI unless you are certain of the source.
2. Always verify with the IT department whether a specific OpenAI organization is officially sanctioned by the company before joining.
3. If you have already joined an unknown organization and entered company data or code, please notify the IT security team immediately.
Deadline: Immediate