データ分析企業Mixpanelで発生したサイバー攻撃による情報漏洩事件が、広範な懸念を呼び起こしている。同社のジェン・テイラーCEOは、11月8日に不審なセキュリティ侵害を検知したと発表したが、その内容や影響を受けたユーザー数、被害の詳細は一切明かさず、ただ「不正アクセスを排除するための対策を実施」という極めて簡素な発表にとどまった。この発表は米国感恩節連休直前というタイミングで行われ、情報開示の不足が批判を浴びている。 影響を受けた企業の一つであるOpenAIが、2日後に独自のブログを公開。Mixpanelのシステムから顧客データが盗まれたことを確認した。OpenAIは、自社の開発者ドキュメントの利用状況を把握するためにMixpanelのソフトウェアを採用していたため、そのデータが流出したと説明。被害にあったユーザーには、氏名、メールアドレス、IPアドレスに基づく大まかな所在地（市区町村レベル）、OSやブラウザのバージョンといった情報が含まれていた。ただし、Androidの広告IDやAppleのIDFAといった高度な個人識別情報は含まれていないとし、ユーザーの特定リスクは限定的だと述べた。 OpenAIは、今回の事件によりChatGPTユーザーへの直接的な影響はないとしながらも、Mixpanelとの連携を終了した。一方、MixpanelはテックCrーンチに対して複数回の問い合わせに回答せず、ハッカーからの勒索要求の有無や、社員アカウントの多要素認証の有無といった重要な質問にも答えなかった。 Mixpanelは、8000社以上の企業にサービスを提供する業界大手であり、ユーザーのクリックやスワイプ、ログイン行動などをリアルタイムで追跡する。そのデータは「擬似匿名化」されているが、デバイス情報や行動パターンからユーザーを特定できる「デバイスフィンガープリンティング」が可能であり、複数アプリ間での追跡も可能となる。さらに「セッションリプレイ」機能では、ユーザーの画面操作を記録するが、パスワードやクレジットカード情報が誤って記録される事例も過去に発覚している。 今回の事件は、ユーザーのプライバシーを収集するアナリティクス企業が、サイバー攻撃の標的になり得ることを浮き彫りにしている。Mixpanelが漏洩の詳細を明らかにしないまま、企業としての責任を果たしていないとの批判が強まる中、影響を受けたユーザーの数やデータの種類、被害の実態は依然として不明なままだ。