OpenAI、ChatGPT/Codex向け高度アカウント保護を導入

AIアカウントが“金庫”になる時代が来た

ChatGPTやCodexは、いまや単なるチャットツールではありません。企画書の下書き、顧客対応の文面、コードレビュー、社内ナレッジの整理まで、日々の仕事のかなり深い部分に入り込んでいます。

つまり、アカウントの中には個人の思考パターンや業務上の文脈、場合によっては未公開のソースコードや機密情報に近い会話履歴が蓄積されます。攻撃者から見れば、これはかなり価値の高い標的です。

そんな状況を受けて、OpenAIはChatGPTとCodexアカウント向けにAdvanced Account Securityを導入しました。日本語では高度なアカウントセキュリティと呼ばれる設定で、パスワード中心の守り方から、パスキーや物理セキュリティキーを軸にした守り方へ一段引き上げるものです。

特に注目したいのは、単に二要素認証を追加するだけではない点です。メールやSMSによる復旧を制限し、セッション管理やログイン通知、学習利用の扱いまで含めて、アカウント全体の防御レベルをまとめて高めます。

Advanced Account Securityとは何か

Advanced Account Securityは、OpenAIが個人向けChatGPTアカウントに提供を始めた任意の高セキュリティ設定です。ChatGPTのWeb版アカウント設定から有効化でき、同じログインで利用するCodexにも保護が適用されます。

OpenAIのリリースノートでは、この機能について次のように説明されています。

個人向け ChatGPT アカウント向けの任意設定である高度なアカウント セキュリティの提供を開始しています。サインイン要件を強化し、アカウント保護をより厳格にすることで、ATO、不正アクセス、データ漏えいのリスク低減に役立ちます。
出典: OpenAI Help Center ChatGPT リリースノート

対象として想定されているのは、ジャーナリスト、研究者、選挙で選ばれた公職者、政治的反体制派、サイバーセキュリティ関係者など、標的型攻撃を受けやすい人たちです。ただし、実際には仕事でChatGPTやCodexを深く使っている人なら、かなり広く関係する話です。

CodexはOpenAIのAIコーディングパートナーとして、複数の利用面をChatGPTアカウントでつなぐ設計になっています。OpenAI公式のCodexページでも、ChatGPTアカウントに接続された複数のサーフェスで使えることが示されています。だからこそ、入口となるアカウントの保護が重要になります。

何が強化されるのか

今回のポイントは、ログインと復旧の両方を強くすることです。多くのアカウント乗っ取りは、パスワードの使い回し、フィッシング、メールアカウントの侵害、SMS認証の突破などから始まります。

Advanced Account Securityを有効にすると、OpenAIはより強いサインイン方法を求めるようになります。具体的には、パスキーやFIDO準拠の物理セキュリティキーが中心です。これにより、偽サイトにパスワードを入力させるタイプのフィッシングに強くなります。

主な強化内容は次の通りです。

• パスワードサインインの制限：通常のパスワードだけに頼るログインを避ける
• パスキーや物理セキュリティキーの利用：フィッシング耐性の高い認証を使う
• メールやSMSによる復旧の無効化：メールボックスや電話番号を乗っ取られても復旧経路を悪用されにくくする
• ログイン通知：不審なサインインに気づきやすくする
• アクティブセッションの確認：ChatGPTやCodexで使われているセッションを見直せる
• 会話の学習利用からの除外：有効化中は会話がモデル学習に使われない設定になる

WIREDの報道では、OpenAIがYubicoと連携し、Advanced Account Security利用者向けにYubiKeyの低価格バンドルを用意している点にも触れられています。物理キーを導入しやすくする動きとして、実務ユーザーにはかなり現実的です。参考: WIRED

なぜメールやSMS復旧を切るのか

一見すると、メールやSMSで復旧できないのは不便に感じます。スマホをなくしたとき、メールから再設定できた方が安心だと思う人も多いはずです。

しかし、高リスクユーザーにとっては、その便利さがそのまま弱点になります。攻撃者がメールアカウントを先に乗っ取った場合、ChatGPTの復旧メールを受け取り、本人になりすましてアカウントを奪える可能性があります。SMSも同様で、SIMスワップや電話番号の不正移転が絡むと、復旧経路として安全とは言い切れません。

Advanced Account Securityでは、この“弱い復旧ルート”を閉じる代わりに、バックアップ用のパスキー、物理セキュリティキー、復旧キーなどを使います。つまり、取り戻しやすさより、奪われにくさを優先する設計です。

ここはかなり大事です。有効化するなら、メインのセキュリティキー1本だけで運用するのは危険です。紛失や故障に備えて、最低でもバックアップ手段を複数用意しておくべきです。

有効化する前に準備したいもの

Advanced Account Securityは、勢いでオンにするよりも、先に準備してから有効化するのがおすすめです。強いセキュリティ設定は、守りが固くなる一方で、本人が復旧できなくなるリスクもあります。

まず用意したいのは、パスキーを使える端末です。iPhone、Android、Windows、macOSなど、最近の主要環境ではパスキー対応が進んでいます。普段使う端末で問題なく使えるか確認しておきましょう。

次に、物理セキュリティキーです。YubiKeyのようなFIDO準拠キーが代表例です。できればメイン用と予備用の2本を用意し、予備は自宅の安全な場所や信頼できる保管場所に置いておくと安心です。

準備リストとしては、次のような形が現実的です。

• 普段使う端末にパスキーを設定する
• 物理セキュリティキーを少なくとも1本、できれば2本用意する
• 復旧キーが発行される場合は、紙やパスワードマネージャーで安全に保管する
• 古い端末や共有端末のログイン状態を整理する
• 仕事で使う場合は、チームの運用ルールを先に決める

特にCodexで開発リポジトリや業務コードに触れている人は、アカウントが使えなくなると作業にも影響します。セキュリティ強化と業務継続の両方を見て準備しましょう。

使い方の流れ

現時点の公開情報では、Advanced Account SecurityはChatGPTのWeb版アカウント設定から有効化します。OpenAI Help Centerや国内メディアの報道でも、Web版ChatGPTのセキュリティ設定から登録できると説明されています。参考: Impress Watch

基本的な流れは、まずChatGPTにログインし、設定メニューを開きます。そこからセキュリティ関連の項目に進み、Advanced Account Securityまたは高度なアカウントセキュリティを選びます。

その後、画面の案内に従ってパスキーや対応セキュリティキーを登録します。バックアップ用の手段も求められる可能性があるため、ここで予備の認証手段を登録しておくのが安全です。

有効化後は、ログインのたびに強い認証が求められる場面が増えます。また、セッション期間が短くなり、再認証の頻度が上がると報じられています。少し手間は増えますが、そのぶん不正アクセス後に長く居座られるリスクを下げられます。

もし複数端末でChatGPTやCodexを使っているなら、有効化後に各端末でログイン状態を確認しましょう。使っていない端末のセッションは切っておくと、より安全です。

Codexユーザーにとっての意味

今回のアップデートは、ChatGPTユーザーだけでなくCodexユーザーにとってもかなり大きな意味があります。Codexはコード生成やレビューだけでなく、リポジトリ理解、修正提案、開発タスクの補助まで担うAIコーディングエージェントです。

OpenAIのHelp Centerでは、CodexはChatGPT Plus、Pro、Business、Enterprise/Eduなどのプランで利用できると説明されています。さらにChatGPT Web、モバイル、Codexなど複数のサーフェスが同じアカウントに結びつくため、アカウントの安全性がそのまま開発環境の安全性に影響します。参考: OpenAI Help Center Codex

もし攻撃者がCodexにアクセスできれば、会話履歴だけでなく、接続している開発ワークフローやコード関連の文脈をのぞかれるおそれがあります。場合によっては、開発方針、脆弱性対応、未公開機能の情報まで推測されるかもしれません。

そのため、Codexを業務で使っている開発者ほど、Advanced Account Securityの価値は高いです。特にスタートアップ、受託開発、セキュリティ研究、OSSメンテナンスのように、アカウントの中に重要な作業文脈が集まりやすい人は検討する価値があります。

チームや企業が考えるべき運用

個人向け機能とはいえ、企業やチームにも無関係ではありません。社員が個人のChatGPTアカウントで業務に近い作業をしている場合、そのアカウントが侵害されると、情報漏えいの入口になる可能性があります。

本来、企業利用ではChatGPT BusinessやEnterpriseのような管理機能のあるプランを使い、SSOや権限管理、データ利用ポリシーを整えるのが望ましいです。ただ、現実には個人契約のPlusやProでCodexを試している開発者も少なくありません。

チームとしては、少なくとも次のルールを決めておきたいところです。

• 業務コードや顧客情報を扱うアカウントでは強い認証を必須にする
• 共有アカウントを使わない
• 物理セキュリティキーの紛失時フローを決めておく
• 退職者や外部協力者のアクセス経路を棚卸しする
• Codexに接続するリポジトリやツールの範囲を限定する

また、ITmediaの報道では、一部の限定公開サイバー分野の高度なモデルにアクセスできる個人ユーザーについて、2026年6月1日から本設定の有効化が必須になるとされています。高度なAI機能ほど、利用者側にも高いセキュリティ水準が求められる流れが見えてきます。参考: ITmedia

便利さとのトレードオフも理解しておく

Advanced Account Securityは強力ですが、すべての人に気軽におすすめできる設定ではありません。特に、セキュリティキーや復旧キーの管理に自信がない人は、先に運用を整える必要があります。

メールやSMSで復旧できないということは、認証手段を失ったときに復旧が難しくなるということです。高い安全性と引き換えに、ユーザー自身の管理責任も大きくなります。

また、セッションが短くなり再ログインの頻度が上がると、毎日の利用では少し面倒に感じる場面も出てくるはずです。スマホ、PC、タブレット、開発用端末など複数環境で使う人ほど、最初の再設定には時間がかかります。

ただし、これは悪い不便さではありません。重要なデータを扱うサービスでは、多少の摩擦が安全性を支えます。銀行アプリや証券口座と同じように、AIアカウントも“便利なメモ帳”ではなく“重要資産の入口”として扱う時期に入ったと考えるべきです。

参考リンクと押さえておきたい情報源

今回の記事では、OpenAIの公式Help Center、Codex公式ページ、WIRED、ITmedia、Impress Watchなどの情報をもとに整理しました。最新の仕様は変更される可能性があるため、有効化前には必ずOpenAI公式の案内を確認してください。

• OpenAI Help Center ChatGPT リリースノート
• OpenAI Codex 公式ページ
• OpenAI Help Center ChatGPTプランでCodexを使う
• WIRED OpenAI Advanced Account Security
• ITmedia OpenAI、ChatGPTとCodexの保護を強化
• Impress Watch ChatGPTに高度なアカウントセキュリティ

セキュリティ機能は、発表直後から細かな仕様が調整されることがあります。特に復旧方法や対象プラン、必須化されるユーザー範囲は、今後の公式更新を追うのが安全です。

まとめ：AI活用の次のテーマは“守り方”

OpenAIのAdvanced Account Securityは、ChatGPTとCodexを本気で使う人にとって重要なアップデートです。パスキーや物理セキュリティキーを使い、メールやSMS復旧を制限することで、アカウント乗っ取りのリスクをかなり下げられます。

一方で、復旧手段を失うと自分自身もアクセスできなくなる可能性があります。導入するなら、予備キー、バックアップパスキー、復旧キーの保管まで含めて設計することが大切です。

ChatGPTやCodexは、もはや軽い相談相手ではなく、仕事の中核に近い場所で動くAIになっています。だからこそ、モデルの性能やプロンプト術だけでなく、アカウントをどう守るかもAI活用スキルの一部です。

もしあなたがChatGPTに重要な会話を預けているなら。もしCodexで業務コードや開発タスクを扱っているなら。Advanced Account Securityは、早めに理解しておきたい“次の標準装備”になりそうです。