ジャカルタ - OpenAIは、Axiosというサードパーティ開発ツールに関連するセキュリティインシデントを明らかにしました。しかし、ユーザーデータへのアクセスや社内システムの侵害の証拠はないと主張した。
公式声明で、OpenAIは、この事件は北朝鮮に関連する人物が関与しているとされるより広範なソフトウェアサプライチェーン攻撃の一部であると述べた。攻撃は2026年3月31日に発生し、アプリケーション開発で広く使用されているAxiosライブラリを標的にしました。
「ユーザーデータにアクセスされた、システムが侵入された、またはソフトウェアが変更されたという証拠はありません」とOpenAIは述べています。
GitHub Actionsのギャップが問題の根源
OpenAIは、この攻撃は、悪意のあるコードがダウンロードされ実行されるAxiosのバージョンをダウンロードして実行するために使用されるGitHub Actionsワークフローを利用していると説明しました。ワークフローには、ChatGPT Desktop、Codex、Codex-cli、AtlasなどのOpenAIの公式macOSアプリケーションに署名するために使用される証明書と公証資料へのアクセス権があります。
しかし、内部調査の結果、署名証明書は、おそらく、悪意のあるペイロードによってエクスフィルタリングされなかったと結論付けました。
同社はまた、ユーザーのパスワードとOpenAI APIキーはこの事件の影響を受けなかったと強調した。
「このインシデントの主な原因は、GitHub Actionsワークフローの構成エラーであり、現在は修正されました」と声明は続けた。
macOSユーザーのための必須のアップデート
緩和策として、OpenAIは現在、セキュリティ認証システムを更新し、すべてのmacOSユーザーがOpenAIアプリケーションを最新バージョンに更新することを義務付けています。
この措置は、以前のセキュリティギャップを利用できる偽のアプリケーションの配布の可能性を回避するためにとられました。
OpenAIはまた、2026年5月8日以降、macOSデスクトップアプリケーションの古いバージョンは更新やサポートを受けなくなり、おそらく使用できなくなることを発表しました。
この措置は、すべてのユーザーがセキュリティが強化されたアプリケーションエコシステムに存在することを保証するための予防的努力と見なされています。
サプライチェーンセキュリティが再び注目されるテクノロジー業界
この事件は、特に広く使用されているサードパーティライブラリが攻撃の入り口になると、グローバルソフトウェアサプライチェーンの脆弱性を再び強調しています。
OpenAIは深刻な影響を回避することに成功しましたが、このケースは、大規模なテクノロジー企業でさえ、外部依存から生じるギャップに免疫がないことを思い出させます。
ソフトウェア開発エコシステムの複雑さが増すにつれて、OpenAIが示した透明性と応答速度は、一般の人々の信頼を維持する上で重要です。
VOIのWhatsAppチャンネルに従ってください
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
