OpenAI、外部ライブラリへの攻撃でmacOSアプリの証明書を交換

当サイトではアフィリエイトプログラムを利用して商品を紹介しています。

OpenAIは2026年4月10日、外部ライブラリ「Axios」への攻撃によってmacOSアプリの署名証明書が危険にさらされた可能性があると発表しました。 2026年3月31日、Axiosのnpmパッケージが北朝鮮の脅威アクターによるサプライチェーン攻撃を受け、OpenAIのGitHub Actionsワークフローが悪意あるバージョン（1.14.1）を実行。このワークフローはChatGPT Desktop・Codex・Codex CLI・AtlasといったmacOSアプリの署名に使用する証明書にアクセスできる状態でした。 調査の結果、証明書が実際に外部へ流出した証拠は確認されず、ユーザーデータや知的財産への被害も見つかっていません。ただし万全を期して、コード署名証明書を失効・交換することを決定。第三者のセキュリティ調査会社も関与し、Appleとも連携して旧証明書での新たなアプリ公証を停止しています。 2026年5月8日以降、旧バージョンのmacOSアプリは動作しなくなる可能性があるため、全macOSユーザーは公式サイトまたはアプリ内更新から速やかにアップデートが必要です。根本原因はGitHub Actionsのワークフロー設定ミス（フローティングタグの使用と最小リリース期間の未設定）で、この点はすでに修正されています。