ChatGPT Teamプランのセキュリティリスクについて。権限に関係なく無限招待可能。
こんにちは、おぐりんです。
組織でChatGPTを活用する際、最初に検討すべきはChatGPTの「Teamプラン」でしょう。私も、このプランが登場して以来、長く利用してきました。しかし最近、重大な問題点があることに気づいたため、ここで共有いたします。
招待と課金における課題
まず結論から申し上げると、ChatGPTのTeamプランでは、設定できる権限に関係なく、誰でも自由に新規ユーザーを招待できてしまいます。
つまり、管理者の知らない間にユーザーが追加され、それに伴う課金が発生するリスクがあるのです。さらに、ユーザーが追加されても管理者に通知が届かないため、気づかないうちに請求金額が増えてしまう可能性があります。
「まさか……」と思われるかもしれませんが、これが現実に起きているため、非常に驚きです。
権限の種類
Teamプランには3つの権限があります。
Member(メンバー)
Admin(管理者)
Owner(オーナー)
しかし、このいずれの権限でも「ユーザーの招待が可能」となっています。つまり、メンバー権限であっても新たなユーザーを自由に招待できてしまうのです。残念ながら、Teamプランにはユーザー招待を制限する設定が存在せず、オーナーや管理者が意図しないユーザー追加や、それに伴う課金が発生するリスクがあります。
ユーザーの一覧も閲覧可能
さらに、全ての権限でTeamプランに参加しているユーザーの一覧が閲覧可能であり、他のユーザーのメールアドレスも全員に見られてしまいます。
会社の社員だけで利用する場合はそれほど問題にならないかもしれませんが、業務委託の方も含めて利用するケースでは、プライバシーやセキュリティの観点から問題が生じる可能性があります。必要以上にメールアドレスが共有されることは、場合によっては不都合やリスクを伴うことも考えられます。
問い合わせ結果と対応方針
OpenAI社に問い合わせた結果、エンタープライズプランの利用を検討するようにとの回答を受けました。
つまり、現状ではTeamプランにおいて、これらの課題に対する対応策は用意されていないということになります。
招待への注意喚起を行う
ChatGPTの画面には、招待ボタンがあまりにも自然に表示されているため、悪意なくユーザーを招待してしまうケースも考えられます。
メンバー権限のユーザーにも招待ボタンが表示される仕様は、利用者として少し疑問を感じざるを得ません。しかしながら、現状の仕様においては、利用者側で対応するしかないため、メンバーに対して「不用意にユーザーを招待しないように」という注意喚起を行うことが重要です。
第三者に閲覧されても問題ないメールアドレスを使用
ユースケースとして頻繁に発生するわけではないかもしれませんが、第三者にメールアドレスを知られたくない場合は、業務専用のメールアドレスを使用するなど、知られても問題のないアドレスで登録することをおすすめします。
日常的に使っている個人のメールアドレスは、可能な限り避けたほうが無難かもしれません。
OpenAIに想うこと
最後に、権限に関係なくユーザーを招待できる仕様については、至急修正していただきたいと強く願っています。
この点に関しては、OpenAIに問い合わせてみましたが、現時点での対応にはあまり期待が持てない状況ですが…
We understand your concerns about a potential security issue in your workspace, and we apologize for any inconvenience this may have caused. Rest assured, we're here to help clarify and address the situation.
We've documented your feedback on this matter, and we will review it internally. We’ll also look into updating our guidelines as needed.
ワークスペースでのセキュリティに関するご懸念について、お知らせいただきありがとうございます。ご不便をおかけしたことをお詫び申し上げます。状況を確認し、対応させていただきますのでご安心ください。
今回のご意見は社内で共有し、必要に応じてガイドラインの見直しも検討いたします。