OpenAIがサプライチェーン攻撃を受け署名証明書が流出、macOSクライアントは来月強制アップデートへ

Odaily星球日报からの報道 OpenAIは、内部環境がTanStackの悪意あるNPMパッケージによるサプライチェーン攻撃の標的となり、2名の従業員のデバイスが感染したことを確認した。ユーザーデータやコアコードへの影響はなかったものの、攻撃者は内部コードリポジトリへのアクセス資格情報の一部を窃取しており、その中にはiOS、macOS、Windows製品向けのコード署名証明書も含まれていた。

ハッカーが盗まれた証明書を悪用して偽造アプリケーションをリリースするのを防ぐため、OpenAIは防御的な証明書ローテーションを開始し、ChatGPTデスクトップ版、Codex、Atlasブラウザを使用するすべてのmacOSユーザーに対し、2026年6月12日までに最新バージョンへアップグレードするよう発表した。期限後は旧バージョンの証明書が失効され、旧バージョンのアプリ起動および新規インストールがシステムによってブロックされる。

OpenAIは、以前からより厳格なコードパッケージブロックポリシーを導入していたものの、感染したデバイスには最新の設定が同期されておらず、その結果、悪意あるコンポーネントが侵入に成功したと述べている。現在のところ、iOSとWindowsのクライアントは影響を受けておらず、ユーザーのアカウントパスワードやAPIキーなどのコアデータも安全であることが確認されている。