2025年2月6日、脅威アクター「emirking」はBreachForumsで「OpenAIの2,000万以上のアカウントアクセスコードを入手した」と主張しました。しかし、セキュリティ企業KELAの調査によると、これらの認証情報はOpenAIのシステム侵害によるものではなく、インフォスティーラー(情報窃取型マルウェア)によって収集されたデータであることが判明しました。
OpenAIアカウントへの侵害について
脅威アクター「emirking」は 2025 年 1 月 9 日に BreachedForums に参加し、前述の投稿以外に 1 件の投稿のみを書き、5 万件のログにアクセスできると主張し、投稿に 15 件のログのサンプルをリストしました。
このアクターの投稿は両方とも、フォーラムの他のユーザーからほとんどコメントがありませんでした
emirkingは他の侵害やリークに関する活動がないため、その信頼性、スキル レベル、他のサイバー犯罪アクターとの関係を評価するのは困難です。興味深いことに、OpenAI の投稿はその後削除されましたが、アクターは依然として BreachForums のメンバーです。
KELAの調査
KELAは、BreachForumsに投稿された「OpenAI認証情報」のサンプルを精査し、それらがインフォスティーラーログと一致していることを確認しました。具体的には、以下の点が判明しています。
- 攻撃者が提供した30件の認証情報は、インフォスティーラーによって窃取されたログと一致。
- このデータは14の異なる情報漏洩ソースから収集されたもので、OpenAI自体の侵害とは無関係。
- 認証情報は、BreachForumsの投稿者が直接入手したものではなく、既存のデータセットから収集した可能性が高い。
- 感染端末の分析から、主に2024年1月~4月の間にインフォスティーラーによって認証情報が盗まれたことが確認。
インフォスティーラーとは?
インフォスティーラー(情報窃取型マルウェア)は、システム内の機密情報を盗み取るマルウェアであり、攻撃者が認証情報や金融データを取得する主要な手段の一つとなっています。
KELAが特定した主要なインフォスティーラーの種類には以下が含まれます。
- Redline
- Lumma
- Vidar
- StealC
- RisePro
これらのマルウェアは、感染したデバイスのブラウザ、パスワードマネージャー、クリップボードなどからログイン情報を抜き取り、ダークウェブのマーケットプレイスや犯罪フォーラムで販売されるという流れが一般的です。
特に、感染したユーザーがOpenAIを利用していた場合、その認証情報がインフォスティーラーログに含まれる可能性があり、結果的に「OpenAIアカウントが流出した」と誤解される原因となっています。
関連記事
ハッカーがOracle Cloudへ不正アクセスし600万件のデータを販売、Oracleは否定
AT&Tが契約する「Snowflake」から大規模データ侵害 約1億900万人の顧客の通話記録が漏洩
6000以上のワードプレスがサイバー攻撃とハッキングの被害
アマゾン、過去に発生した不正アクセスによる情報漏洩を認める
Kubernetes Image Builderで危険度の高い脆弱性(CVE-2024-9486,CVE-2024-9594)
サイバー攻撃の事例を解説
Metaの偽広告がFacebookアカウントをハイジャックしインフォスティーラーを拡散
セキュリティインシデントとは その種類と事例などを解説
中国のAPTグループ ソルトタイフーンにより米国政府関係者の「プライベート通信」が侵害される