MEニュース 5月15日(UTC+8)、動察Beatingの監視によると、OpenAIは内部環境がTanStackを標的とした悪意のあるNPMパッケージサプライチェーン攻撃を受けたことを確認し、2名の従業員のデバイスが感染した。ユーザーデータやコアコードには影響がなかったが、ハッカーは一部の内部コードリポジトリのアクセス証明書を窃取し、その中にはiOS、macOS、Windows製品のコード署名証明書も含まれている。 偽造アプリの配布に悪用されるのを防ぐため、OpenAIは証明書の防御的ローテーションを発表し、macOSプラットフォームに厳格なアップデート期限を設定した。ChatGPTデスクトップ版、Codex、Atlasブラウザを使用するmacOSユーザーは、2026年6月12日までに最新バージョンにアップデートする必要があり、その時点で旧証明書は完全に失効し、安全メカニズムが旧バージョンのアプリの起動と新規インストールをブロックする。 この攻撃は、ちょうどOpenAIの内部セキュリティ強化のタイミング差に重なった。公式は、以前よりより厳格なコードパッケージの検査戦略を展開していたと認めているが、感染した2台の従業員デバイスは最新の設定に同期されておらず、悪意のあるコンポーネントが侵入した。 事後対応として、AppleのmacOSのシステムメカニズムは盗用された証明書を用いた新しいアプリの偽造をデフォルトでブロックするため、OpenAIは約1ヶ月のアップデート猶予期間を設け、証明書の即時失効による既存ユーザーの全面的な切断を避けている。 現時点では、iOSとWindowsクライアントは影響を受けておらず、ユーザーのアカウントパスワードやAPIキーなどのコアデータも安全であることが確認されている。 (出典:BlockBeats)
OpenAIがサプライチェーン攻撃により署名証明書を漏洩、macOS全アプリが来月強制アップデートへ
偽造アプリの配布に悪用されるのを防ぐため、OpenAIは証明書の防御的ローテーションを発表し、macOSプラットフォームに厳格なアップデート期限を設定した。ChatGPTデスクトップ版、Codex、Atlasブラウザを使用するmacOSユーザーは、2026年6月12日までに最新バージョンにアップデートする必要があり、その時点で旧証明書は完全に失効し、安全メカニズムが旧バージョンのアプリの起動と新規インストールをブロックする。
この攻撃は、ちょうどOpenAIの内部セキュリティ強化のタイミング差に重なった。公式は、以前よりより厳格なコードパッケージの検査戦略を展開していたと認めているが、感染した2台の従業員デバイスは最新の設定に同期されておらず、悪意のあるコンポーネントが侵入した。
事後対応として、AppleのmacOSのシステムメカニズムは盗用された証明書を用いた新しいアプリの偽造をデフォルトでブロックするため、OpenAIは約1ヶ月のアップデート猶予期間を設け、証明書の即時失効による既存ユーザーの全面的な切断を避けている。
現時点では、iOSとWindowsクライアントは影響を受けておらず、ユーザーのアカウントパスワードやAPIキーなどのコアデータも安全であることが確認されている。
(出典:BlockBeats)