OpenAI、高リスク向け強化保護を導入　passkey必須化と復旧経路縮小を同時適用

アカウント保護で何が変わったのか

OpenAIは、アカウント保護を細かな設定の寄せ集めではなく、名前の付いたproduct featureとして前に出した。メインのXアカウントは、Advanced Account Securityがデジタル攻撃リスクの高い人向けのopt-in modeとして使えるようになったと書いている。ここが重要だ。ChatGPTのloginは、もはや会話履歴だけを守るものではない。同じ認証がCodexの作業、接続されたapp、そして蓄積された個人・業務の文脈へ通じる入口になりつつあるからだ。

“Advanced Account Security” adds “phishing-resistant sign-in and more secure account recovery.”

4月30日のOpenAI product pageは、この機能の中身をより具体的に説明している。Advanced Account Securityはpassword-based loginをpasskeysまたはphysical security keysへ置き換え、emailとSMSによるrecoveryを無効化し、sessionを短くし、より明確なsession管理とlogin alertsを追加する。さらに同じloginで入るCodexにも保護が及ぶ。とくに機微な情報を扱う人向けには、会話をmodel trainingに使わない設定も自動化される。設定の切り忘れを減らす設計だ。

復旧経路を狭める判断の意味

もっとも強い設計判断はaccount recoveryにある。OpenAIは、このモードの利用者がbackup passkeys、security keys、recovery keysに依存すること、そしてsupportが弱い代替経路で復旧を手伝わないことを明記した。面倒は増える。だが、記者、研究者、公職者、セキュリティ担当者のように、アカウント乗っ取りがそのまま機密業務への侵入に変わり得る人にとっては、この摩擦こそが必要だ。

ここには方針の変化も見える。OpenAIはTrusted Access for Cyberの個人利用者に対し、2026年6月1日からこのモードを必須にするとしている。組織側がphishing-resistant SSOを備えていると証明できない限り、推奨ではなく基準になるわけだ。次に見るべきは、こうした保護がenterprise workflowへどこまで速く広がるか、そして利用者が厳しくなった復旧モデルを受け入れるかである。出典: OpenAI source tweet · OpenAI product page