C
月内に
攻撃者が正当な企業を装ったOpenAIのテナントを作成し、その企業の従業員を招待する「Poisoned Tenant」キャンペーン
📌 一言でいうと
攻撃者が正当な企業を装ったOpenAIのテナントを作成し、その企業の従業員を招待する「Poisoned Tenant」キャンペーンが確認されました。招待メールはOpenAIの正規ドメインから送信されるため、認証チェックを通過し、本物に見えるのが特徴です。目的は、ターゲットに偽のワークスペースへ参加させ、チャットやプロジェクトを通じて機密情報を入力させることにあると考えられています。
🔍該当判定
- 業務でChatGPTの「チームプラン」や「エンタープライズプラン」を利用している
- OpenAIから「組織(Organization)への招待メール」が届いた
- 自社以外の第三者が作成したChatGPTワークスペースに招待され、参加した
- ChatGPTの共有ワークスペース内で、社外の人間に機密情報を入力した
上記いずれにも該当しない → 静観でOK
✅該当時の対応
身に覚えのないOpenAI組織への招待メールを受信した場合、安易に承諾せず、社内のIT管理者に報告してください。また、社外のAIワークスペースに機密情報を入力しないよう、従業員への周知を徹底してください。
📧 メール案を見る (社員向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】OpenAI (ChatGPT) の組織招待メールにご注意ください
お疲れさまです。情報システム担当です。
正当な会社名をかたった偽のOpenAI(ChatGPT)組織への招待メールが送信されていることが確認されました。
ご協力をお願いしたいこと:
1. 心当たりのない「組織への招待」メールが届いた場合、リンクをクリックしたり参加したりせず、すぐに情報システム担当へ報告してください。
2. 会社が正式に導入・案内していないAIツールやワークスペースに、社外秘の情報や機密データを入力しないでください。
対応期限: 本日中
お疲れさまです。情報システム担当です。
正当な会社名をかたった偽のOpenAI(ChatGPT)組織への招待メールが送信されていることが確認されました。
ご協力をお願いしたいこと:
1. 心当たりのない「組織への招待」メールが届いた場合、リンクをクリックしたり参加したりせず、すぐに情報システム担当へ報告してください。
2. 会社が正式に導入・案内していないAIツールやワークスペースに、社外秘の情報や機密データを入力しないでください。
対応期限: 本日中
Subject: [Security Alert] Beware of Fraudulent OpenAI (ChatGPT) Organization Invites
Hi everyone,
We have been alerted to a phishing campaign where attackers send fake invitations to join OpenAI (ChatGPT) organizations impersonating legitimate companies.
What we need from you:
1. If you receive an invitation to join an OpenAI organization that you did not expect, do not click any links or accept the invite. Please report it to the IT security team immediately.
2. Never enter sensitive company information or confidential data into any AI workspace that has not been officially approved and provided by the company.
Deadline: Immediate
Hi everyone,
We have been alerted to a phishing campaign where attackers send fake invitations to join OpenAI (ChatGPT) organizations impersonating legitimate companies.
What we need from you:
1. If you receive an invitation to join an OpenAI organization that you did not expect, do not click any links or accept the invite. Please report it to the IT security team immediately.
2. Never enter sensitive company information or confidential data into any AI workspace that has not been officially approved and provided by the company.
Deadline: Immediate