- OpenAIは、Axiosのサプライチェーン侵害後にmacOSコード署名証明書をローテーションしました
- 悪意のあるAxios 1.14.1がアプリ署名ワークフローに取り込まれました
- データ盗難の証拠はありませんが、古いアプリバージョンは廃止されました
OpenAIは最近、macOSコード署名証明書をローテーションし、潜在的なマルウェア攻撃に対する積極的な対策として、macOSプロダクトの新しいバージョンをプッシュしました。
アプリが有効な開発者証明書(OpenAIのような)で署名されている場合、システムは開発者が検証されており、アプリが改ざんされていないこと、そして実行するのが安全であることを想定しています。これらの証明書の1つで署名されたマルウェアを使用することは、保護をバイパスしてエンドポイントで実行を許可されることがほぼ確実に保証されます。
先週遅くに発表された更新で、人気のあるAI企業は、今年の3月下旬に使用しているサードパーティの開発者ツールであるAxiosでの侵害を観察したと述べました。Axiosは、HTTPリクエストを送信するために使用されるJavaScriptライブラリです(アプリがサーバーと通信することを許可します)。それは危険にさらされ、悪意のあるバージョン1.14.1がプッシュされました。
記事は以下に続きます
この攻撃は、明らかにより広範なソフトウェアサプライチェーン攻撃の一部であったと言われています。その時点で、OpenAIはmacOSアプリ署名プロセスでGitHub Actionsワークフローを使用していました。このワークフローは、その悪意のあるバージョンをダウンロードして実行しました。
ユーザーデータは安全です
「このワークフローは、ChatGPT Desktop、Codex、Codex-cli、Atlasを含むmacOSアプリケーションの署名に使用される証明書と公証資料にアクセスできました」とOpenAIは説明しました。
企業のインシデント分析では、署名証明書が「おそらく正常に流出していない」と判断されましたが、それでも危険にさらされたものとして扱い、ローテーションを決定しました。
「2026年5月8日から、古いバージョンのmacOS Desktopアプリは、もはやアップデートやサポートを受け取ることができず、機能しなくなる可能性があります」とOpenAIは警告しました。「これらのバージョンは、更新された証明書で署名された最初のリリースを表しています:
ChatGPT Desktop: 1.2026.051
Codex App: 26.406.40811
Codex CLI: 0.119.0
Atlas: 1.2026.84.2」
同じレポートで、企業はユーザーデータがアクセスされた、知的財産が危険にさらされた、またはソフトウェア自体がいかなる方法で改変されたという証拠がないと述べました。
そしてもちろん、あなたはまたTikTokでTechRadarをフォローしてビデオ形式のニュース、レビュー、アンボックス動画を視聴し、WhatsAppでも定期的な更新を受け取ることができます。
