會原 
北朝鮮の影がChatGPTに忍び寄っていた。
MacでChatGPTなどのOpenAI製アプリを使っている人は、今すぐアップデートしてください。OpenAIが、macOS向けの自社アプリについてセキュリティ上の理由から最新版への更新を呼びかけています。
対象となるアプリはChatGPT Desktop、Codex App、Atlas、Codex CLIの4つです。原因は、開発に使われていたサードパーティ製ライブラリ「Axios」のnpmパッケージが、広く報告されたサプライチェーン攻撃の一部として改ざんされたことです。OpenAIによると、OpenAIのmacOSアプリに署名するGitHub Actionsワークフローが、3月31日 UTCに悪意あるAxios 1.14.1をダウンロードして実行してしまったとのことです。
なお、サプライチェーン攻撃というのは、平たく言えば「信頼されている部品の流通経路に毒を仕込む」手口です。正規のソフトウェア部品が途中ですり替えられるため、開発者側も気づきにくいのがやっかいなところです。
これにより、攻撃者がOpenAIのコード署名証明書を悪用し、本物そっくりの偽アプリを作れてしまう可能性がありました。
ただし、OpenAIは「ユーザーデータへのアクセスやシステム・知的財産の侵害、ソフトウェアの改ざんが行われた証拠は見つかっていない」としています。また、OpenAIの分析では、証明書の持ち出しは成功していない可能性が高いとのことです。
一方、Microsoftはこの汚染されたAxiosのnpmパッケージと関連インフラについて、北朝鮮の国家系ハッカー集団「Sapphire Sleet」の仕業だと指摘しています。つまり、AI企業も古典的なサプライチェーン攻撃の標的になっているわけです。
そのため、OpenAIは予防措置として古い証明書の失効手続きを進め、新しい証明書で署名し直したビルドを公開しています。2026年5月8日以降、旧バージョンのアプリは更新やサポートの対象外となり、動作しなくなる可能性があります。約30日の猶予があるうちにアップデートしておきましょう。
実害を示す証拠は確認されていないとはいえ、AI企業が国家レベルのサイバー攻撃の影響を受ける時代です。Macだから安心、とは言っていられませんね。
