TanStack npm サプライチェーン攻撃へのOpenAIの対応
OpenAI は、TanStack を経由したサプライチェーン攻撃への対応策としてシステム保護と署名証明書の強化を公表し、macOS ユーザーに対し 2026 年 6 月 12 日までのアプリ更新を義務付けた。
キーポイント
サプライチェーン攻撃の詳細と対応
「Mini Shai-Hulud」と呼ばれる TanStack ベースの攻撃に対し、OpenAI はシステム保護策と署名証明書の強化を実施したことを明かしている。
macOS ユーザーへの緊急更新要請
セキュリティリスクを回避するため、macOS 版 OpenAI アプリの利用者は 2026 年 6 月 12 日までに必ず最新版へアップデートする必要がある。
将来の脅威に対する防御強化
ソフトウェアサプライチェーンにおける進化する脅威に対し、OpenAI はより強固な防御体制を構築し、今後の攻撃への耐性を高めている。
影響分析・編集コメントを表示
影響分析
このニュースは、主要なオープンソースライブラリ(TanStack)を介した攻撃が巨大テック企業にも及ぶ現実を示しており、現代のソフトウェア開発におけるサプライチェーンセキュリティの脆弱性を浮き彫りにしています。OpenAI が具体的な期限を設定してユーザーに更新を促している点は、単なる技術的対応を超え、組織的な危機管理とユーザー保護の姿勢を強く示すものであり、業界全体がセキュリティ対策の重要性を再認識するきっかけとなるでしょう。
編集コメント
今回の攻撃は、依存関係にあるライブラリが侵害されるという典型的なサプライチェーン攻撃の事例であり、開発者だけでなくエンドユーザーも期限厳守で対応する必要性を痛感させます。OpenAI の迅速な対応と明確な期限提示は、セキュリティインシデント発生時のベストプラクティスとして注目すべき動きです。
私たちは最近、より広範な攻撃である Mini Shai-Hulud(新しいウィンドウで開く) の一部である一般的なオープンソースライブラリ「TanStack npm」に関わるセキュリティ問題を確認しました。OpenAI のユーザーデータがアクセスされた証拠、当社の生産システムや知的財産が侵害された証拠、あるいは当社のソフトウェアが改ざんされた証拠は見つかりませんでした。
私たちはユーザーデータ、システム、および知的財産を保護するために決定的な措置を講じました。対応の一環として、macOS アプリケーションが正当な OpenAI アプリであることを証明するプロセスを保護するための措置も講じています。
お客様の情報のセキュリティとプライバシーは最優先事項です。問題が発生した際には透明性を保ち、迅速に対応することにコミットしています。以下に、より詳細な技術情報とよくある質問(FAQ)をご紹介します。
何が起きたか、そして私たちが行っていること
当社の企業環境内の従業員端末 2 台がこの攻撃の影響を受けました。悪意のある活動が特定された直後、私たちは迅速に調査、封じ込め、およびシステム保護のための措置を講じるために行動しました。調査と対応の一環として、第三者のデジタルフォレンジックおよびインシデントレスポンス企業に依頼しました。
私たちは、2 名の影響を受けた従業員がアクセス権限を持っていた一部の内部ソースコードリポジトリにおいて、不正アクセスや認証情報に焦点を当てた流出活動など、マルウェアの公的に説明された行動と一致する活動を確認しました。これらのコードリポジトリから限定的な認証情報のみが実際に流出したことを確認し、他の情報やコードには影響が及んでいないことも確認しました。
私たちは直ちに活動の封じ込めを行いました。影響を受けたシステムとアイデンティティを隔離し、ユーザーセッションを取り消し、影響を受けたすべてのリポジトリで認証情報を回転(ローテーション)させ、一時的にコードデプロイワークフローを制限するとともに、ユーザーおよび認証情報の行動を徹底的に精査しました。調査の一環として、顧客データや知的財産への影響を示す証拠は確認されておらず、脅威アクターによる影響を受けた認証情報の不正使用や、それに続くアクセスの痕跡も分析によって特定されていません。
影響を受けたソースコードリポジトリには、iOS、macOS、Windows などの製品用の署名証明書が含まれていました。そのため、予防措置としてコード署名証明書の回転(ローテーション)を実施しており、これにより macOS ユーザーはアプリケーションの更新が必要となります。Windows および iOS アプリについては、ユーザーが特別なアクションを行う必要はありません。これらの必要なアップデートに関する追加ガイダンスは、macOS ユーザーに対して別途提供されます。
証明書ローテーションに加え、プラットフォームプロバイダーと連携して、新しい notarization(証明書の署名)を停止することで、これらの証明書を不正に使用されないよう防止しています。また、以前の証明書を使用したすべてのソフトウェアの notarization を見直し、これらの鍵を用いた予期せぬソフトウェア署名が発生していないことを確認し、公開されたソフトウェアに不正な改変がないことも検証しました。既存のソフトウェアインストールに対する侵害やリスクを示す証拠は見つかりませんでした。
2026 年 6 月 12 日に証明書を完全に失効させれば、以前の証明書で署名されたアプリの新しいダウンロードと起動は、macOS のセキュリティ保護機能によってブロックされます。
Axios インシデント発生後、サプライチェーン攻撃(supply chain attack)の影響を軽減するため、特定のセキュリティ制御と技術の導入を加速しました。当社のセキュリティ対応には、CI/CD パイプラインで使用される機密性の高い認証情報のさらなる強化、minimumReleaseAge などの制御機能を備えたパッケージマネージャー設定の導入、および新しいパッケージの由来(provenance)を検証するための追加セキュリティソフトウェアが含まれています。
このインシデントは、これらの制御機能の段階的な展開とロールアウト中に発生しました。影響を受けた 2 つの従業員端末には、新たに観測されたマルウェアを含むパッケージのダウンロードを防ぐための更新済み設定が適用されていませんでした。
この事案は、脅威環境におけるより広範な変化を反映しています:攻撃者は特定の企業ではなく、共有されたソフトウェア依存関係や開発ツールを標的にすることが増えています。現代のソフトウェアは、オープンソースライブラリ、パッケージマネージャ、および継続的インテグレーション(CI)と継続的デリバリー(CD)基盤からなる深く相互接続されたエコシステムの上に構築されており、その結果、上流で導入された脆弱性が組織間を広くかつ迅速に伝播する可能性があります。私たちは、サードパーティ製コンポーネントの完全性と由来を検証し、こうした生態系レベルのサプライチェーン攻撃に対する防御を強化するための制御策への投資を継続しています。
FAQ
OpenAI の製品やユーザーデータは侵害されましたか?
いいえ。OpenAI の製品やユーザーデータが侵害または露出されたという証拠は見つかりませんでした。
OpenAI として署名されたマルウェアを確認しましたか?
いいえ。OpenAI の証明書を使用して悪意のあるソフトウェアに署名されたという証拠は見つかりませんでした。
パスワードを変更する必要がありますか?
いいえ。顧客/ユーザーのパスワードや API キーは影響を受けませんでした。
この事案が影響を与えるプラットフォームは何ですか?
Windows、macOS、iOS、および Android 用の署名キーに影響がありました。すべてのアプリケーションは新しい証明書で再署名され、リリースされています。macOS ユーザーは、アプリケーションを継続して機能させるために、2026 年 6 月 12 日までに更新措置を取る必要があります。
なぜ Mac アプリの更新を求めているのですか?
更新を行うことで、最新の証明書で署名されたバージョンを実行していることを確認できます。この証明書により、顧客はソフトウェアが正規の開発者である OpenAI から提供されているものであると知ることができます。
更新された macOS アプリはどこからダウンロードできますか?
OpenAI のアプリは、アプリ内のアップデートまたは以下の公式ウェブサイトからのみダウンロードしてください:
メール、メッセージ、広告、またはサードパーティのダウンロードサイトにあるリンクからアプリをインストールしないでください。メール、テキスト、チャットメッセージ、広告、ファイル共有リンク、またはサードパーティのダウンロードサイトを介して送られてくる予期せぬ「OpenAI」、「ChatGPT」、または「Codex」のインストーラーには注意してください。
2026 年 6 月 12 日以降はどうなりますか?
2026 年 6 月 12 日より、以前のバージョンの macOS デスクトップアプリは更新やサポートの対象外となり、機能しなくなる可能性があります。これらのバージョンは、古くなった証明書で署名された最後のリリースを表しています:
- ChatGPT Desktop: 1.2026.125
- Codex App: 26.506.31421
- Codex CLI: 0.130.0
- Atlas: 1.2026.119.1
なぜすぐに証明書を失効させないのですか?
私たちは、影響を受けた証明資料を使用した macOS アプリのさらなる署名(notarization)をブロックする取り組みを行いました。これは、影響を受けた証明書を使用して OpenAI アプリを装う不正なアプリは署名を取得できず、したがってユーザーが明示的にセキュリティ保護を回避しない限り、macOS のセキュリティ保護によってデフォルトでブロックされることを意味します。以前の証明書による新しい署名がブロックされていること、および失効により以前の証明書で署名されたアプリの新しいダウンロードや初回起動が macOS によってブロックされる可能性があることから、混乱を最小限に抑えるためにユーザーには 2026 年 6 月 12 日までの猶予期間を与えます。この猶予期間は、ユーザーリスクを最小化し、影響を受けたクライアントが組み込みの更新メカニズムを通じて更新できるようにすることで、適切な修正措置が講じられることを保証します。私たちはパートナーと協力して、署名証明書の悪用に関する兆候を監視しており、この期間中に悪意のある活動を確認した場合は、失効スケジュールを加速させる予定です。
原文を表示
We recently identified a security issue involving a common open-source library, TanStack npm, that is part of a broader attack known as Mini Shai-Hulud(opens in a new window). We found no evidence that OpenAI user data was accessed, that our production systems or intellectual property were compromised, or that our software was altered.
We have taken decisive steps to protect our user data, systems, and intellectual property. As part of our response, we are taking steps to protect the process that certifies our macOS applications are legitimate OpenAI apps.
The security and privacy of your information are a top priority. We’re committed to being transparent and taking quick action when issues arise. We’re sharing more technical details and FAQs below.
What happened and what we are doing
Two employee devices in our corporate environment were impacted by this attack. Upon identification of the malicious activity, we worked quickly to investigate, contain, and take steps to protect our systems. As part of our investigation and response, we engaged a third-party digital forensics and incident response firm.
We observed activity consistent with the malware’s publicly described behavior, including unauthorized access and credential-focused exfiltration activity, in a limited subset of internal source code repositories to which the two impacted employees had access. We confirmed that only limited credential material was successfully exfiltrated from these code repositories and that no other information or code was impacted.
We acted immediately to contain the activity. We isolated impacted systems and identities, revoked user sessions, rotated all credentials across impacted repositories, temporarily restricted code-deployment workflows, and thoroughly scrutinized user and credential behavior. As part of our investigation, we have not observed evidence of impact to customer data, or our intellectual property, and our analysis has not identified misuse of impacted credentials or follow-on access by the threat actor.
The impacted source code repositories included signing certificates for our products, including iOS, macOS, and Windows. As a result, we are rotating code-signing certificates as a precaution, which will require macOS users to update their applications. Users do not need to take any action for Windows and iOS apps. Additional guidance will be provided to macOS users regarding these required updates.
In addition to rotating certificates, we are coordinating with platform providers to prevent any unauthorized use of these certificates by stopping new notarizations. We have also reviewed all notarization of software using our previous certificates to confirm no unexpected software signing has occurred with these keys, and validated that our published software did not have unauthorized modifications. We have found no evidence of compromise or risk to existing software installations.
Once we fully revoke our certificate on June 12, 2026, new downloads and launches of apps signed with the previous certificate will be blocked by macOS security protections.
After the Axios incident, we accelerated the deployment of specific security controls and technologies to reduce the impact of supply chain attacks such as this one. Our security response included further hardening of sensitive credential materials used in our CI/CD pipeline, deployment of package manager configurations with controls like minimumReleaseAge, and additional security software to validate the provenance of new packages.
This incident occurred during our phased deployment and rollout of these controls, and the two impacted employee devices did not have the updated configurations that would have prevented the download of the newly observed package containing malware.
This incident reflects a broader shift in the threat landscape: attackers are increasingly targeting shared software dependencies and development tooling rather than any single company. Modern software is built on a deeply interconnected ecosystem of open-source libraries, package managers, and continuous integration and continuous deployment infrastructure, which means that a vulnerability introduced upstream can propagate widely and quickly across organizations. We are continuing to invest in controls that validate the integrity and provenance of third-party components and to strengthen our defenses against these kinds of ecosystem-level supply chain attacks.
FAQ
Were OpenAI products or user data compromised?
No. We have found no evidence that OpenAI products or user data were compromised or exposed.
Have you seen malware signed as OpenAI?
No. We have found no evidence of malicious software being signed with any of OpenAI’s certificates.
Do I need to change my password?
No. Customer/user passwords and API keys were not affected.
What platforms does this affect?
Our signing keys for Windows, macOS, iOS, and Android were impacted. All of our applications are being re-signed and released with new certificates. macOS users will need to take action to update by June 12, 2026 for applications to continue functioning.
Why are you asking me to update my Mac apps?
Updating ensures you are running versions signed with our latest certificate. This certificate helps customers know that software comes from the legitimate developer, OpenAI.
Where do I download the updated macOS apps?
Only download OpenAI apps from in-app updates or the official webpages below:
Do not install apps from links in emails, messages, ads, or third-party download sites. Be cautious of unexpected “OpenAI,” “ChatGPT,” or “Codex” installers sent through email, text, chat messages, ads, file-sharing links, or third-party download sites.
What happens after June 12, 2026?
Effective June 12, 2026, older versions of our macOS desktop apps will no longer receive updates or support, and may not be functional. These versions represent the last releases signed with our outdated certificate:
- ChatGPT Desktop: 1.2026.125
- Codex App: 26.506.31421
- Codex CLI: 0.130.0
- Atlas: 1.2026.119.1
Why are you not revoking the certificate immediately?
We have worked to block any further notarization of macOS apps with the impacted notarization material. This means that any fraudulent app posing as an OpenAI app using the impacted certificate will lack notarization, and therefore will be blocked by default by macOS security protections unless a user explicitly bypasses those protections. Because new notarization with the previous certificate is blocked, and because the revocation may cause macOS to block new downloads and first-time launches of apps signed with the previous certificate, we are giving our users until June 12, 2026 to update to minimize disruption. This window will help minimize user risk and allow impacted clients to update through built-in update mechanisms, ensuring they are appropriately remediated. We are working with our partners to monitor for any indicators of misuse of the signing certificate, and will accelerate the revocation timeline if we identify malicious activity during this window.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み