ソフトウェア開発の世界では、サプライチェーン攻撃が組織規模を問わず大きな懸念事項となっている。OpenAIは最近、広く利用されている開発ツール「Axios」が業界全体を標的とした攻撃の一部として侵害されたことで、この課題に直面した。

この問題は、ソフトウェアのテストと展開を自動化するGitHub Actionsのワークフロー内で発生した。2026年3月31日、自動化プロセスが誤って悪意のあるバージョンのAxiosライブラリをダウンロードしてしまったのだ。このワークフローはmacOSアプリのデジタル署名を管理しており、アプリが安全であるとMacに認識させる「公証」の鍵を一時的に保持していた。

OpenAIの内部調査では、ユーザーデータへのアクセスや、悪意のある攻撃者が署名用証明書を盗み出した証拠は見つかっていない。しかし、同社は慎重を期す姿勢を崩さない。古い証明書を無効化し、新しく安全なものに入れ替える「ローテーション」を実施したのである。

その結果、ChatGPT Desktop、Codex、Atlasを利用するmacOSユーザーは、ソフトウェアを即座に更新しなければならない。これは避けては通れない対応である。

5月8日以降、古い証明書で署名された旧バージョンのアプリはサポートが終了し、オペレーティングシステムによってブロックされる可能性が高い。今回の迅速な対応は、接続されたデジタルエコシステムにおいて信頼を維持するために、最新のセキュリティ対策がいかに不可欠であるかを物語る事例といえる。

ソフトウェア開発の世界では、サプライチェーン攻撃が組織規模を問わず大きな懸念事項となっている。OpenAIは最近、広く利用されている開発ツール「Axios」が業界全体を標的とした攻撃の一部として侵害されたことで、この課題に直面した。

この問題は、ソフトウェアのテストと展開を自動化するGitHub Actionsのワークフロー内で発生した。2026年3月31日、自動化プロセスが誤って悪意のあるバージョンのAxiosライブラリをダウンロードしてしまったのだ。このワークフローはmacOSアプリのデジタル署名を管理しており、アプリが安全であるとMacに認識させる「公証」の鍵を一時的に保持していた。

OpenAIの内部調査では、ユーザーデータへのアクセスや、悪意のある攻撃者が署名用証明書を盗み出した証拠は見つかっていない。しかし、同社は慎重を期す姿勢を崩さない。古い証明書を無効化し、新しく安全なものに入れ替える「ローテーション」を実施したのである。

その結果、ChatGPT Desktop、Codex、Atlasを利用するmacOSユーザーは、ソフトウェアを即座に更新しなければならない。これは避けては通れない対応である。

5月8日以降、古い証明書で署名された旧バージョンのアプリはサポートが終了し、オペレーティングシステムによってブロックされる可能性が高い。今回の迅速な対応は、接続されたデジタルエコシステムにおいて信頼を維持するために、最新のセキュリティ対策がいかに不可欠であるかを物語る事例といえる。