会話型AI「OmniGPT」で大規模漏えいが発生か 3400万件以上のチャットが流出：セキュリティニュースアラート

HackReadは会話型AIサービス「OmniGPT」で大規模なデータ漏えいが発生したと報じた。脅威アクターは同サービスを侵害し、3万人のユーザーの電子メールアドレスや電話番号、3400万件以上のチャットメッセージを流出させたと主張している。

[後藤大地，有限会社オングス]

　セキュリティニュースメディア「HackRead」は2025年2月11日（現地時間）、Licodingが提供する会話型AIサービス「OmniGPT」において大規模なデータ漏えいがあったことを報じた。

　脅威アクターが同サービスを侵害し、3万人のユーザーの電子メールアドレスや電話番号、3400万件以上のチャットメッセージを流出させたと主張していることが分かった。これらのデータにはAPIキーや認証情報、アップロードされたファイルのリンクなどが含まれているとされ、深刻なリスクが指摘されている。

OmniGPTで3400万件以上のチャットメッセージ流出の可能性

　OmniGPTはOpenAIの「GPT-4」「Claude 3.5」「Perplexity」「Google Gemini」などの先進的な言語モデルを統合したAIチャットbotプラットフォームだ。データ暗号化やチームコラボレーションツール、文書管理、画像解析、「WhatsApp」統合などの機能を備え、無料プランから月額16ドルのPlusプランまでの料金体系が用意されている。

　流出したデータにはユーザーとチャットbotのやりとりが含まれており、一部の会話にはAPIキーや認証情報、請求情報が含まれていたとされている。さらに8000件以上の電子メールアドレスがチャット内で共有されていたことが判明している。漏えいしたデータのサンプルには以下の通りだ。

• チャットメッセージのログ：　ユーザーが技術的な問題を議論する内容、コードレビューに関するやりとり、ビジネスや個人情報に関連するメッセージ
• アップロードされたファイル：　企業のプロジェクト資料や大学の課題、市場分析レポート、WhatsAppのチャット履歴、警察の身元確認証明書、その他多数の機密文書

　流出したデータの中には南米（特にブラジル）や欧州（特にイタリア）、アジア（インド、パキスタン、中国、サウジアラビア）のユーザーの情報が多く含まれていることが確認されている。欧州ではEU一般データ保護規則（GDPR）により企業には厳格なデータ保護義務が課せられている。今回の漏えいが事実であれば、OmniGPTはGDPR違反により多額の罰金や法的措置を受ける可能性がある。

　現時点でOmniGPTから今回のデータ漏えいに関する公式声明は発表されていない。OmniGPTユーザーは自身のアカウントの安全を確保するためにパスワードの変更や二要素認証（2FA）の有効化、フィッシング詐欺への警戒、APIキーの無効化と再発行など迅速な対応が求められている。