OpenAI が Axios開発ツールの侵害 incident に対応 ── 証明書ローテーションと安全性確認
サプライチェーン攻撃の標的にされたのは、OpenAIの開発ツールだった。Axios経由での侵害が確認されたを受け、同社は即座にmacOS code signing certificatesのローテーションを実施。ユーザーデータへの影響はないと断言しているが、ここ数年サプライチェーン攻撃の被害が相次ぐだけに、かなり神経を使う対応だ。
▸何が変わったのか
OpenAIはAxiosのサプライチェーン攻撃に対し、macOSのcode signing certificates(コード署名証明書)をローテーション(更新・再発行)した。併せてアプリのアップデートも実施。ユーザーデータは侵害されていないことを確認済みと発表している。
◈技術背景と意義
サプライチェーン攻撃とは、ソフトウェアの開発・配布経路に悪意あるコードを紛れ込ませる手法。今回はその経路の一つであるAxiosの開発ツールが標的になった。code signing certificatesは、アプリが正規開発者のもので改ざんされていないことを証明する仕組み。これをローテーション(更新)することで、仮に旧証明書が悪用されていても、新しい証明書で安全性を確保できる。
SOURCE: OpenAI (2026-04-12)
