OpenAIがTanStack攻撃の全容公表 Macアプリ更新期限は2026年6月

この記事の要約

OpenAIの事例は、AI時代の競争力がサイバー防御と供給網管理にも左右されることを示している。

製造委託先、クラウド、認証情報を含む防御体制が、AI関連企業の事業継続リスクになっている。

単発の攻撃被害ではなく、AIインフラを支える企業群全体の安全性を点検する材料になる。

OpenAIは4月10日、JavaScriptライブラリ「TanStack」を標的としたソフトウェアサプライチェーン攻撃に関する対応報告書を公開した。同社によると、この攻撃で一部の社内システムが侵害されたものの、顧客データや本番環境への影響は確認されていない。macOS向けデスクトップアプリケーションのコード署名証明書が不正に取得された可能性を重視し、全ユーザーに対し2026年6月12日までにアプリを更新するよう呼びかけている。

攻撃の起点となったTanStackの改ざん

今回のインシデントは、npmレジストリ上で配布されるTanStackパッケージに悪意あるコードが注入されたことが発端である。攻撃者はTanStackのメンテナー資格情報をフィッシングで窃取し、正規パッケージのバージョン5.67.3および5.68.0にバックドアを埋め込んだ。OpenAIの調査チームが「Mini Shai-Hulud」と命名したこのマルウェアは、感染した開発環境から各種シークレット情報を抽出する能力を持っていた。

改ざんされたパッケージはnpm上で約48時間公開され、この間に全世界で推定3,200以上のプロジェクトが影響を受けたとみられる。OpenAIは内部監視システムが異常なネットワーク通信を検知したことで被害を早期に察知し、侵入から約4時間後には影響範囲の特定と封じ込めに着手した。

OpenAIの被害範囲と封じ込め対応

OpenAIの発表によると、攻撃者は同社のCI/CDパイプラインの一部にアクセスし、限定的なビルド環境のシークレット情報を窃取した。具体的には、内部向けテストツールのAPIキーと、未公開の研究プロジェクトに関連する一部のリポジトリアクセス権が流出した可能性がある。

最も深刻だったのが、macOS向けChatGPTアプリケーションのコード署名証明書が不正利用された点である。攻撃者はこの証明書を用いてマルウェアに正規アプリと同一の署名を付与できる状態にあった。OpenAIは問題発覚後ただちにAppleと連携し、影響を受けた証明書の失効手続きを完了させている。

同社はまた、侵害された全シークレットのローテーション、ビルドパイプラインの完全再構築、全従業員を対象とした強制パスワードリセットを48時間以内に実施した。本番環境や顧客向けサービス、大規模言語モデルの学習データに対する不正アクセスは一切確認されていない。

なぜ2026年6月12日までに更新が必要か

Appleのコード署名検証メカニズムには、証明書失効後も既存の署名付きバイナリが一定期間動作し続けるという特性がある。OpenAIはこの点を考慮し、旧署名のアプリケーションが完全に無効化される期限を2026年6月12日と設定した。この日付はAppleの証明書失効ポリシーと、エンタープライズ環境での段階的移行に必要なリードタイムを勘案して決定されている。

macOSユーザーはApp StoreまたはOpenAI公式サイトから最新バージョンをダウンロードすることで対応が完了する。期限を過ぎても旧バージョンは起動しなくなり、証明書検証エラーによりmacOSのセキュリティ機構が実行をブロックする仕組みだ。Windows版およびiOS版アプリケーションは当該証明書を使用していないため、今回の更新対象には含まれない。

ソフトウェアサプライチェーン防衛の新施策

OpenAIは今回の事態を受け、ソフトウェアサプライチェーン全体のセキュリティ強化策を打ち出した。第一に、全外部依存パッケージに対するハッシュ値による完全性検証をビルドプロセスに義務付けた。従来のバージョン指定だけでは改ざんを検知できないという教訓に基づく措置である。

第二に、パッケージメンテナーの多要素認証状況を継続的に監視する独自ツールを開発し、依存先ライブラリのガバナンス状態をリアルタイムで評価する仕組みを導入した。第三に、コード署名証明書の管理をハードウェアセキュリティモジュールに移行し、証明書のエクスポートを物理的に不可能にする運用へと切り替えている。

さらに同社は、npmエコシステム全体の安全性向上を目的として、パッケージ公開フローにおけるメンテナー認証強化をnpm運営元のGitHubに提言したことを明らかにした。

国内IT企業が学ぶべき教訓

今回のインシデントは、日本企業のソフトウェア開発現場にとっても看過できない教訓を含む。情報処理推進機構の2024年度調査によると、国内企業の約67%がnpmを利用した開発を行っているにもかかわらず、依存パッケージのハッシュ検証を実施している割合は全体の23%にとどまる。OpenAIの事例は、多要素認証の有効化や証明書ライフサイクル管理の自動化といった基本的対策の欠如が、たった一つのパッケージ改ざんから大規模侵害に発展しうることを示している。

特に生成AI関連のスタートアップや大規模言語モデルを社内利用する企業では、今回の攻撃手法がそのまま再現されるリスクが高い。CI/CDパイプラインに接続された開発環境のシークレット管理と、ビルド成果物の署名検証を早急に見直す必要がある。OpenAIの透明性ある事後開示は、サプライチェーンリスクの具体像を業界全体で共有する契機となった。