ChatGPTの「高度なアカウントセキュリティ」とは？パスキー・YubiKeyで守る最強設定を解説

「ChatGPTのアカウントが乗っ取られた」——そんな話を聞いたことがある人も、最近は増えてきたんじゃないだろうか。

2025年12月にはOpenAIを騙るフィッシングサイトが確認され、実際にメールアドレスやクレジットカード情報が狙われた。ChatGPTはもはや軽いメモ帳ツールじゃない。業務上の機密情報を扱い、Codex（コードを自動生成するAIエージェント）にも繋がり、プロジェクトの設計書からプロンプト履歴まで、かなりセンシティブなデータが蓄積されている。

だから、OpenAIが2026年4月30日に発表した「高度なアカウントセキュリティ（Advanced Account Security）」は、単なるアップデートではない。「ChatGPTをどう守るか」という問いに対する、OpenAIからの本気の回答だ。

この記事では、その具体的な仕組みから設定手順、注意点まで、エンジニアにもビジネスパーソンにも役立つ形で丁寧に解説する。

そもそもなぜ今、ChatGPTのセキュリティが問題なのか
- パスワードは「もうすでに破られている前提」で考える時代
- ChatGPTのアカウントには、メールより価値あるデータが入っている
「高度なアカウントセキュリティ」の5つの機能
Yubicoとの提携：$68で使えるハードウェアキー
誰が対象で、誰に義務化されるのか
- 現在：オプトイン（任意）
- 2026年6月1日以降：一部ユーザーに義務化
設定手順：有効にするまでの具体的なステップ
高度なアカウントセキュリティの注意点とデメリット
他のセキュリティ対策との比較
エンジニア・ビジネスパーソン別の活用シナリオ
- エンジニアの場合
- ビジネスパーソン（非エンジニア）の場合
まとめ：「ChatGPT = 軽いツール」の時代は終わった

そもそもなぜ今、ChatGPTのセキュリティが問題なのか

パスワードは「もうすでに破られている前提」で考える時代

2023年にはサムスン電子の従業員がChatGPTにソースコードや社内会議の内容を入力し、情報漏洩が発覚した。あれは「入力してはいけないものを入力した」という話だったが、2025〜2026年の脅威はもう一段階進んでいる。

問題は「アカウント自体を乗っ取られる」リスクだ。

パスワードとSMS認証（二段階認証）の組み合わせは、一見安全そうに見えて実は脆い。フィッシングサイトに誘導されてIDとパスワードを入力してしまえば一発でアウトだし、SIMスワップ攻撃（攻撃者が携帯キャリアを騙して電話番号を乗っ取る手口）でSMSの認証コードも盗める。

ある調査によると、2026年には中小企業を狙ったサイバー攻撃の46%が「認証情報の使い回し（クレデンシャルスタッフィング）」から始まると見られている。それくらい、パスワードベースの認証はもう信頼できない。

ChatGPTのアカウントには、メールより価値あるデータが入っている

考えてみれば当然の話だ。

メールには届いたメッセージが入っている。銀行口座には取引履歴が入っている。でもChatGPTのアカウントには何が入っているか。病状への不安、法的なグレーゾーンの相談、社内の組織問題、独自のプロンプト設計、書きかけのビジネスプラン——人が誰にも言えないことを「AIになら話せる」と思って打ち明けた、あの会話全部だ。

さらにCodexと組み合わせれば、社内のコードも流れる。OpenAIのCISO（最高情報セキュリティ責任者）のDane Stuckeyも「AIがインフラになっていく今、アカウントの保護は以前より重要だ」と認めている。

「高度なアカウントセキュリティ」の5つの機能

OpenAIが2026年4月30日にリリースした高度なアカウントセキュリティは、ChatGPTのWebアカウント設定から有効化できるオプトイン（任意加入）の機能だ。一度有効にすると、ChatGPTとCodexの両方に適用される。

① パスワードログインの廃止とパスキー必須化

有効にすると、パスワードでのログインが完全に無効化される。代わりに、パスキーまたは物理セキュリティキーが必須になる。

パスキーとは何か。ざっくりいうと「スマートフォンやPCに登録した鍵」のことだ。ログイン時にパスワードを入力する代わりに、Face IDや指紋認証、あるいはPINを使って「この端末の持ち主本人であること」を証明する。鍵穴（サービス側）には公開鍵だけが保存されていて、実際の秘密鍵はあなたのデバイスの外には出ない。

なぜこれがフィッシングに強いのか。フィッシングサイトは「本物そっくりの偽サイト」だが、パスキーは登録した正規のドメイン以外では認証が成立しない仕組みになっている。ブラウザが自動的にドメインを照合するため、どれだけ精巧な偽サイトでも、パスキー認証をすり抜けることは構造的にできない。

物理セキュリティキー（YubiKeyなど）はさらに強力で、USB端子に挿してタッチするだけで認証が完了する。デバイスへのハッキングとキーの物理的な盗難が同時に起きない限り、突破はほぼ不可能だ。

② メール・SMS復旧の無効化

多くのサービスでは「パスワードを忘れた場合はメールか電話番号で復旧できる」という仕組みがある。便利だが、これが弱点にもなる。メールアカウントや電話番号を攻撃者に乗っ取られていれば、そこからChatGPTにも侵入できてしまうからだ。

高度なアカウントセキュリティを有効にすると、メールやSMSによるアカウント復旧は使えなくなる。代わりに認められる復旧手段は3つ。

バックアップパスキー（2台目のデバイスに登録）
バックアップ用セキュリティキー（予備のYubiKeyなど）
リカバリーキー（設定時に発行される長い文字列。印刷して保管する）

注意点がある。 このモードを有効にすると、OpenAIのサポートもアカウント復旧を手伝えない。リカバリーキーを紛失し、バックアップデバイスもなければ、アカウントには永久にアクセスできなくなる。自己責任の度合いが段違いに高い設定なので、有効にする前にリカバリーキーの保管方法をしっかり決めておくことが必須だ。

③ セッション時間の短縮とログイン通知

「ログインしたままにする」という設定は便利だが、デバイスが盗まれたときや、会社の共有PCでうっかりログアウトを忘れたときに危険になる。

高度なアカウントセキュリティでは、セッションの有効期限が短縮される。具体的な時間はOpenAIの設定に依存するが、不活動状態が続くと自動でセッションが切れる仕様になっている。さらに、新しいデバイスからログインがあるたびにアラート通知が届くため、心当たりのないログインを即座に検知できる。

④ モデル学習からの自動除外

ChatGPTでは通常、会話内容がモデルの改善に使われることがある（設定で変更可能）。個人的なやりとりや業務上のやりとりを学習データに使われたくない場合、これまでは手動でオプトアウトする必要があった。

高度なアカウントセキュリティを有効にすると、学習からの除外が自動でオンになる。センシティブな情報を扱う用途でChatGPTを使っている人にとっては、ありがたい仕様変更だ。

⑤ Codexへの適用

ChatGPTのログインと同じ認証情報でCodexにもアクセスできる仕組みになっているため、高度なアカウントセキュリティを有効にするとCodexにも同じ保護が適用される。コードリポジトリや開発環境が絡む分、Codexのアカウントは特に価値の高い攻撃対象になりやすい。エンジニアの方は特に気をつけたいポイントだ。

Yubicoとの提携：$68で使えるハードウェアキー

高度なアカウントセキュリティの発表と同時に、OpenAIはセキュリティキーメーカーのYubicoとの戦略的パートナーシップを発表した。

Yubicoは2007年創業のスウェーデン発のセキュリティ企業で、FIDO2・WebAuthn・FIDO U2Fといった認証標準の策定に深く関わってきた会社だ。YubiKeyは世界160カ国以上で使われていて、政府機関や金融機関でも採用実績がある。

今回のパートナーシップで提供されるのは、OpenAIとのコラボモデル2本セット（税別68ドル）。

製品名	形状	用途
YubiKey C Nano	超小型のUSB-C接続	ノートPCに常時挿しっぱなしで使う日常用
YubiKey C NFC	標準サイズのUSB-C + NFCタッチ対応	バックアップ用、スマートフォンでのタッチ認証にも対応

通常の小売価格だと2本で約126ドル相当だが、このバンドルは実質半額以下という計算になる。一般ユーザーも対象で、無料プランのChatGPTユーザーでも購入できる。FIDO2対応の他社セキュリティキーでも代替可能だ。

Googleが2017年に全社員8万5千人にYubiKeyを配布して以来、フィッシングによる社員アカウント侵害がゼロになったという事例がある。OpenAIはこの実績を踏まえて「同じ水準の保護を一般ユーザーにも届けたい」と話している。

誰が対象で、誰に義務化されるのか

現在：オプトイン（任意）

現時点では、高度なアカウントセキュリティは任意の設定だ。ChatGPTのWeb設定の「Security（セキュリティ）」セクションから自分で有効にする形になる。

OpenAIが特に導入を推奨するユーザー像は以下のとおり。

ジャーナリスト・報道関係者
政治活動家・政府関係者・選挙に関わる人
セキュリティ研究者
機密性の高い情報を扱うビジネスパーソン
とにかくセキュリティ意識が高い人全員

もちろん、上記に当てはまらなくても使える。「ちょっと不安だから設定しておきたい」というモチベーションで十分だ。

2026年6月1日以降：一部ユーザーに義務化

Trusted Access for Cyber（サイバー分野の信頼アクセスプログラム） のメンバーは、2026年6月1日から高度なアカウントセキュリティの有効化が必須になる。

このプログラムは、OpenAIのセキュリティ研究者や認定されたサイバーディフェンスの専門家が、より高度なモデルへのアクセス権を得られるプログラムだ。機密性の高いモデルを扱う以上、アカウント保護のレベルも引き上げる、という判断は理にかなっている。

企業としてSSOを使っている組織は、フィッシング耐性のある認証をSSO側で担保していると証明できれば、個別の有効化の代替とみなされる。

設定手順：有効にするまでの具体的なステップ

ここからは実際の設定方法を確認しておこう。

前提として準備するもの

設定を始める前に、以下をそろえておくと安心だ。

スマートフォンまたはパソコン（パスキー登録用のデバイスを2台以上推奨）
バックアップ用のセキュリティキーまたは2台目のデバイス
リカバリーキーを印刷または安全な場所に保存する手段

有効化の手順

chat.openai.com にアクセスしてログイン
右上のアイコン → 「Settings（設定）」をクリック
左メニューの「Security（セキュリティ）」を選択
「Advanced Account Security」のセクションを探してクリック
画面の指示に従い、パスキーまたはセキュリティキーを2つ以上登録
リカバリーキーが発行されるので、必ず安全な場所に保存する
設定完了

パスキーの登録は、iPhoneならFace IDまたはTouch ID、AndroidならGoogle パスワードマネージャー、Windowsなら Windows Hello で管理できる。iCloudキーチェーンを使えば、同じAppleアカウントのデバイス間で同期も可能だ。

高度なアカウントセキュリティの注意点とデメリット

ここは正直に書いておきたい。便利になる面ばかりではない。

アカウント復旧が自己責任になる

最大のリスクはこれだ。リカバリーキーを失くして、登録デバイスも全部使えなくなった場合、OpenAIはアカウント復旧を手伝えない。 サポートに連絡しても、「申し訳ないができません」という回答が来る。

普通の設定変更とは次元が違う「責任の移転」が起きる。特に、複数のデバイスを使っている人や、端末を頻繁に買い替える人は、バックアップ体制を入念に組んでから有効にすること。

現時点はWebのみ

高度なアカウントセキュリティは、ChatGPTのWebインターフェースでのみ設定・管理できる。モバイルアプリからの設定はまだ対応していない（2026年4月30日時点）。

ただし、Web側で設定を完了すれば、アプリ側でもパスキー認証が使えるケースがある。設定後の動作は手元の環境で確認しておこう。

物理キーの紛失リスク

YubiKeyなどのハードウェアキーは「物理的なもの」なので、なくすリスクがある。だから2本セットで提供されているわけだが、保管場所の管理が新たな課題になる。特に出張が多い人や、鍵や財布をよく忘れる人には向き不向きがある。

他のセキュリティ対策との比較

ChatGPTのアカウント保護を検討する際の選択肢を整理しておく。

対策	フィッシング耐性	利便性	管理コスト	復旧のしやすさ
パスワード + SMS認証	低い	高い	低い	高い
パスワード + 認証アプリ（TOTP）	中程度	中程度	低い	中程度
パスキー（ソフトウェア）	高い	高い	低い	中程度
パスキー + 高度なアカウントセキュリティ	非常に高い	中程度	中程度	低い（自己管理）
物理セキュリティキー + 高度なアカウントセキュリティ	最高水準	中程度	高い	低い（自己管理）

SMS認証（二段階認証）はよく「安全」と思われているが、SIMスワップやリアルタイム中継型のフィッシング（AitM：Adversary-in-the-Middle）に対しては通常の2FAは脆い。認証コードを入力するタイプの二段階認証は、フィッシングサイトがリアルタイムで転送することで突破できてしまう。パスキーはドメイン照合が仕組みに組み込まれているため、この攻撃が構造的に成立しない。