投稿者
Nam Phong
·
公開日
· 更新日
Appleは、元エンジニアが転職先の新しい立場を利用し、未承認の経路を悪用して同社の社内ネットワークに侵入したとして、OpenAIを企業秘密の窃取で訴えました。このiPhoneメーカーは、Chang Liu氏が前例のないアクセス制御の脆弱性を利用し、未発表の独自デバイスに関する詳細を記した数十点のファイルを不正にダウンロードしたと主張しています。
ゼロデイの露呈
Liu氏はかつてApple社で電気システムエンジニアを務めており、その後OpenAIへと移籍しました。訴状によれば、同氏がAppleの共有ネットワークリポジトリに接続できる状態は、退職後も長期間にわたり残存していたといいます。Appleはこの構造的な見落としを、極めて稀なゼロデイ脆弱性だと位置づけています。開発者たちは、侵入が疑われる時点までこの欠陥にまったく気づいておらず、パッチを適用する機会もなかったためです。
2026年2月、このエンジニアは未発表製品に関する技術図面、プレゼンテーション資料、仕様書、そして極めて機密性の高いロードマップを含むクラウドリポジトリへのアクセスを試みたとされています。侵入に成功した後、Liu氏はAppleに在籍し続けていた知人のYuting Peng氏にメッセージを送り、自分がいまだに無制限のアクセス権を持っていることを面白がって伝えていたと訴状は主張しています。
契約違反とワークステーションの侵害
Appleは、Liu氏がこの不備を報告する契約上の義務を怠っただけでなく、リモートアクセスソフトウェアの削除も行わず、会社支給のノートパソコンを保持し続けたと主張しています。さらに、OpenAIの一員として働く中で、同氏はPeng氏の会社用ワークステーションを利用していたとされています。Peng氏自身も後にOpenAIへ入社しています。数週間にわたり、Liu氏は独自のハードウェア技術に関する機密文書を数十点にわたって収集した可能性があります。
この侵害を発見した後、Appleは直ちに元従業員の認証情報を無効化し、脆弱性を修正しました。サーバーログの詳細な監査の結果、この脆弱性は理論上、他の複数の人物にも社内資産を露呈させ得るものだったことが判明しましたが、Appleはこれを実際に悪用したのはLiu氏一人だけだったと見ています。
連邦裁判所への提訴
これを受けてAppleは、OpenAIおよび元従業員2名を相手取り、米国カリフォルニア北部地区連邦地方裁判所に訴状を提出し、法的措置に踏み切りました。正式な訴状の詳細は、公式のApple対OpenAI訴訟文書で確認できます。
Appleは、OpenAIが採用活動を通じてApple製品の将来のラインナップに関する独自情報を組織的に収集し、こうして盗み取った資産を自社のハードウェア事業に取り込んだ可能性があると主張しています。これに対しOpenAIは強く反論し、競合他社の知的財産に一切関心を持っていないと述べています。
結論
司法当局がAppleの主張の真偽を審理する準備を進める中、今回の法廷闘争は、退職後も残存したままのアクセス権限がもたらす深刻な危険性を浮き彫りにしています。原告であるAppleの主張によれば、この欠陥のある認可の仕組みは、元エンジニアが現役社員さながらの自由度で社内ネットワークを行き来することを許してしまったのです。
翻訳元: https://meterpreter.org/apple-sues-openai-trade-secrets/