OpenAI、TanStackへのサプライチェーン攻撃によるセキュリティ侵害を認める

OpenAI、TanStackへのサプライチェーン攻撃によるセキュリティ侵害を認める

BleepingComputer – May 14, 2026

OpenAIは5月13日、TanStackを狙った最近の「Mini Shai-Hulud」サプライチェーン攻撃に関連して、同社従業員2名のデバイスが侵害されていたと発表。これを受け、複数アプリケーションのコード署名証明書を更新する予防措置を講じたと伝えた。

OpenAIが公開したセキュリティアドバイザリによると、同社は一般に報告されているMini Shai-Huludマルウェアの挙動と一致する活動を観測。感染した従業員2名がアクセス権を有していた限定的な数の社内ソースコードリポジトリにおいて、不正アクセスおよび認証情報の抜き取りなどの活動が行われていたと説明した。OpenAIは影響を受けたシステムおよびアカウントを隔離して、当該リポジトリの認証情報を更新したほか、一時的にデプロイメントワークフローを制限する措置を講じている。

このインシデントにより、macOS、Windows、iOS、Android向けOpenAI製品に使われるコード署名証明書が漏洩。これらの証明書がマルウェアへの署名などに悪用された形跡はないものの、同社は予防策としていずれも更新したという。顧客データや本番システム、知的財産、およびデプロイ済みソフトウェアへの影響はなかったとされる。

なお、証明書更新の措置により、macOSユーザーにはChatGTPやCodexなどのOpenAIアプリケーションを2026年6月12日までにアップデートすることが求められている。一方で、WindowsやiOSユーザーは特に対応は必要ないとされる。

OpenAIは今回のインシデントについて、個別の企業を直接狙ったものではなく、より広範に影響を及ぼすことを目的にソフトウェアサプライチェーン全体を標的にするという最近のトレンドの一部であるとの見方を示している。

関連記事：OpenAI、北朝鮮関連のAxiosサプライチェーン攻撃で影響を確認