OpenAI、Axiosサプライチェーン攻撃でmacOSアプリの証明書を失効——5月8日までの更新が必須
OpenAIは2026年4月29日、macOSユーザー全員に緊急セキュリティ警告を発した。2026年5月8日までにアプリを更新しないと、コード署名証明書が失効してアプリが起動できなくなる。
事故の原因は、広く使われているHTTPライブラリAxiosに対するサプライチェーン攻撃だ。3月31日、北朝鮮の国家支援ハッカーとみられる攻撃者がソーシャルエンジニアリングでAxisのメンテナーのnpmとGitHubアカウントを乗っ取り、Axios 1.14.0と1.14.1にマルウェアを注入した。悪意あるバージョンはplain-crypto-jsという隠れた依存関係を含み、Windows・macOS・Linuxを標的とするリモートアクセス型トロイの木馬(RAT)として機能した。
OpenAIのmacOSアプリ署名ワークフローが感染バージョンをダウンロードしたことで、ChatGPT Desktop・Codex・Codex CLI・Atlasのコード署名に使用される証明書が漏洩した。OpenAIはユーザーデータやAPIキーの流出はなかったと発表したが、当該証明書を侵害されたものとして扱い、失効・更新した。
旧証明書で署名されたアプリは5月8日からmacOSのセキュリティ機能によってデフォルトでブロックされる。それ以前に更新しないユーザーはアプリが起動できなくなる。
詳細はThe Hacker Newsの原文を参照のこと。
Related Articles
OpenAIはcompromised Axios packageがmacOS app-signing pipelineに到達したと2026年4月10日に公表した。user dataやproduct compromiseの証拠はないとしつつ、証明書を更新し、macOS appsのアップデートを求めている。
OpenAIは2026年4月10日、Axios package compromise が自社の macOS app-signing GitHub Actions workflow に影響したと説明した。ユーザーデータやシステム、配布ソフトウェアの侵害証拠はないとしつつ、macOS 利用者には 2026年5月8日までに新しい certificate で署名された build への更新を求めている。
OpenAI は、macOS アプリ署名に使っていた GitHub Actions workflow で悪意ある Axios 1.14.1 package が実行されたと公表した。ユーザーデータ流出やアプリ改ざんの証拠はないとしつつ、証明書を更新し、ChatGPT Desktop、Codex App、Codex CLI、Atlas の macOS ユーザーに May 8, 2026 までの更新を求めている。
Comments (0)
No comments yet. Be the first to comment!