OpenAIのmacOSアプリ署名が北朝鮮に狙われた全経緯
Axiosライブラリの汚染が、ChatGPTデスクトップアプリの「信頼の証明書」に到達していた。被害はなかった——と、OpenAIは言う。
Axiosライブラリの汚染が、ChatGPTデスクトップアプリの「信頼の証明書」に到達していた。被害はなかった——と、OpenAIは言う。
macOSアプリの署名基盤が汚染された
OpenAIが4月10日にセキュリティ報告を公開した。世界最大のAI企業が、サプライチェーン攻撃というありふれた手口にやられた——という話だ。
事の発端は3月31日。JavaScriptの定番HTTPクライアントライブラリAxiosのnpmパッケージが、北朝鮮系の攻撃グループによって乗っ取られた。メンテナーのアカウントが侵害され、バージョン1.14.1と0.30.4に悪意ある依存関係「plain-crypto-js」が注入された。この汚染されたバージョンがnpmレジストリ上に存在したのは、わずか約3時間。だが、週間1億回以上ダウンロードされるライブラリの3時間は、途方もなく長い。
OpenAIのmacOSアプリ署名用GitHub Actionsワークフローは、その3時間の窓に引っかかった。署名ワークフローが汚染版Axiosをダウンロードし、実行したのだ。
OpenAIの報告によれば、このワークフローはChatGPT Desktop、Codex、Codex CLI、Atlasといったアプリの署名・公証に使う証明書にアクセスできる状態だった。
つまり、攻撃者がこの証明書を盗み出せていれば、「OpenAI公式」を名乗る偽アプリを作成し、macOSのセキュリティ機構をすり抜けさせることが理論上は可能だった。ユーザーのMacが「このアプリはOpenAI製です」と認識してしまう。そのシナリオが、一瞬だけ現実味を帯びた。
「被害なし」は本当か
OpenAIは、ユーザーデータへのアクセス、システムや知的財産への侵害、ソフトウェアの改ざん、いずれも確認されていないと断言している。署名証明書についても、ペイロードの実行タイミングやジョブの順序、その他の軽減要因から、証明書の流出はなかった可能性が高いと結論づけた。
ただし「可能性が高い」と「なかった」は違う。OpenAI自身もその差をわかっているからこそ、証明書を侵害されたものとして扱い、失効と更新を進めている。第三者のデジタルフォレンジック企業を起用し、Appleとも連携して旧証明書での新規公証をブロックした。
パスワードやAPIキーへの影響はなく、iOS・Android・Windows・Web版のアプリも影響を受けていない。今回の問題はmacOSアプリの署名プロセスに限定される。
ユーザーが取るべきアクションはシンプルだ。macOS上のChatGPT Desktop、Codex App、Codex CLI、Atlasを最新版に更新すること。5月8日以降、旧バージョンはアップデートもサポートも停止され、動作しなくなる可能性がある。
根本原因は「基本の欠如」だった
報告書の急所は、根本原因の説明にある。OpenAIは原因を「GitHub Actionsワークフローの設定ミス」と特定した。
具体的には、ワークフロー内のアクション指定にフローティングタグ(バージョンタグ)を使用しており、特定のコミットハッシュにピン留めしていなかった。さらに、新しく公開されたパッケージに対するminimumReleaseAge(最低公開経過日数)も設定されていなかった。
これは、セキュリティの世界では「初歩」にあたる対策だ。コミットハッシュのピン留めは、依存先の中身が知らないうちに変わることを防ぐ。minimumReleaseAgeは、公開直後のパッケージを自動的に取り込まないようにする安全弁として機能する。どちらかが設定されていれば、今回のインシデントは防げていた。
CI/CDパイプラインのセキュリティは、しばしばプロダクトコードほどの注意を受けない。しかしビルドパイプラインは、コードが「信頼できるもの」に変わる場所だ。そこが崩れれば、末端のすべてが揺らぐ。
評価額8500億ドルを超えるAI企業が、タグをハッシュにピン留めしていなかった。この事実だけで、ソフトウェアサプライチェーンセキュリティの現状がどれほど脆弱かを物語っている。
北朝鮮の影とAxios事件の全体像
今回の攻撃は、OpenAIだけを狙ったものではない。Googleの脅威インテリジェンスグループ(GTIG)は、Axiosの侵害を北朝鮮系の攻撃グループUNC1069の仕業と特定した。Microsoftも同じ活動を「Sapphire Sleet」として追跡しており、暗号通貨の窃取を主な動機とする国家支援型アクターだと分析している。
攻撃者はAxiosのメンテナーアカウントを乗っ取り、登録メールを攻撃者管理のProtonMailアドレスに変更。悪意あるバージョンを正規のリリースとして公開した。挿入されたマルウェアはWindows、macOS、Linuxの全プラットフォームに対応する遠隔操作型トロイの木馬(RAT)「WAVESHAPER.V2」だった。
Wizの推計によれば、Axiosはクラウドおよびコード環境の約80%に存在する。3時間という短い窓でも、影響範囲は広大だ。GTIGのチーフアナリスト、ジョン・ハルトクイストは「全容はまだ不明だが、侵害されたパッケージの人気を考えれば、広範な影響が予想される」と述べている。
macOSユーザーが今すべきこと
対処は明確だ。OpenAIのmacOSアプリを使っているなら、アプリ内のアップデート機能か公式リンクから最新版をインストールすること。対象アプリと最低必要バージョンは以下の通り。
ChatGPT Desktopはバージョン1.2026.051以降、Codex Appは26.406.40811以降、Codex CLIは0.119.0以降、Atlasは1.2026.84.2以降が、新しい証明書で署名されたビルドになる。メール・メッセージ・広告経由のインストーラーには応じず、公式チャネルからのみ更新してほしい。
| アプリ | 新証明書の最低バージョン |
|---|---|
| ChatGPT Desktop | 1.2026.051 |
| Codex App | 26.406.40811 |
| Codex CLI | 0.119.0 |
| Atlas | 1.2026.84.2 |
5月8日に旧証明書が完全に失効すれば、古いバージョンのアプリは新規ダウンロードも初回起動もmacOSにブロックされる。30日間の猶予は、十分な余裕に見えて、忘れた頃に閉まる扉でもある。
信頼の連鎖は、最も弱い環で切れる
今回のインシデントで実害は確認されていない。OpenAIの対応も、発覚から10日後の公開という点で速いとは言えないが、技術的な詳細を包み隠さず開示した姿勢は認めるべきだろう。だが、この事件が残す問いは消えない。
AIの安全性が語られるとき、議論の中心はモデルの暴走やハルシネーションだ。しかし現実の脅威は、もっと地味な場所に潜んでいる。ビルドパイプラインの設定ファイル。npmの依存関係ツリー。誰も読まないpostinstallスクリプト。最先端のAIを作る会社が、最も古典的な攻撃ベクトルに足をすくわれた。
信頼の連鎖は、最も強い環ではなく、最も弱い環で強度が決まる。OpenAIにとってその弱い環は、浮動タグひとつだった。
参照元
関連記事
- Axiosを侵した「偽の会議」――北朝鮮ハッカーの手口
- Claude Code流出、Anthropicが認めた代償
- axiosが乗っ取られた──npm史上最も巧妙なサプライチェーン攻撃の全貌
- サム・アルトマン自宅に火炎瓶投げつけ、20歳の男を逮捕
- フロリダ州司法長官、OpenAIとChatGPTの調査を開始。IPO目前の最大の足枷
- ChatGPT Pro、100ドル新層とPlus縮小の二面策
- AI検索でブランドを売り込む新SEO産業、ゴールドラッシュの内幕
- OpenAI・Anthropic・Googleが共闘、中国への「蒸留」流出で情報共有
- ChatGPTの「安全な箱」にDNSの穴——データ漏洩脆弱性の全容
- CPU-Z・HWMonitor、公式サイトからマルウェア配布
