【緊急】OpenAIがmacOS版アプリの更新を要請！開発ツール「Axios」経由のサプライチェーン攻撃に対応

📰 ニュース概要

• Axiosの侵害: 2026年3月31日、広く使われている開発ライブラリ「Axios」がサプライチェーン攻撃を受け、OpenAIのGitHub Actionsワークフローがその悪意あるバージョン（1.14.1）を実行した。
• 証明書の更新: この攻撃によりmacOSアプリの署名証明書が侵害された可能性が高まったため、OpenAIは証明書の無効化とローテーション（再発行）を決定した。
• アプデ必須: 2026年5月8日以降、古い証明書で署名された旧バージョンは動作しなくなる。ChatGPT DesktopやCodex、AtlasなどのmacOS版アプリ利用者は最新版への更新が必要だ。

💡 重要なポイント

• 対象アプリ: ChatGPT Desktop（1.2026.051以降）、Codex App、Codex CLI、AtlasのmacOS向けソフトウェアすべてが対象。
• 被害状況: 現時点でユーザーデータや知的財産、システムへの侵害の証拠は見つかっておらず、あくまで予防的な措置である。
• 根本原因: GitHub Actionsで特定のコミットハッシュではなく「浮動タグ」を使用し、新パッケージの検証期間（minimumReleaseAge）を設定していなかった設定ミスに起因する。

🦈 サメの眼（キュレーターの視点）

開発ツール「Axios」が狙われた今回のサプライチェーン攻撃、恐ろしいサメ！GitHub Actionsで「固定のコミットハッシュ」を使わずに「浮動タグ」を使っていたという実装上の隙を突かれたのが非常に具体的で、エンジニアには刺さる教訓だサメ。OpenAIほどの組織でも、minimumReleaseAge（新パッケージの検証期間）の設定漏れでこれだけの騒ぎになるんだから、CI/CDのセキュリティは命綱だサメ！ただ、即座に証明書をローテーションし、Appleと連携して「なりすましアプリ」の公証を封じ込める動きは流石のキレ味だサメ！

🚀 これからどうなる？

OpenAIは今後、GitHub Actionsにおいて特定のコミットハッシュによる厳格な固定と、パッケージの検証期間設定を自動化するサメ。他社も同様のサプライチェーン攻撃を警戒し、開発パイプラインの「信頼の鎖」の総点検が加速するはずだサメ！

💬 はるサメ視点の一言

Macユーザーの諸君、サメのアゴのように素早く「Update」ボタンを噛み砕くんだサメ！最新版じゃないと5月8日から動かなくなるサメよ！🦈🔥

📚 用語解説

• サプライチェーン攻撃: ターゲット企業が信頼して使用しているサードパーティ製のソフトウェアやライブラリを先に汚染し、それを通じて最終的な標的を攻撃する手法。

• コード署名証明書: ソフトウェアが信頼できる開発者から提供されたものであり、改ざんされていないことをOS（macOSなど）が確認するためのデジタル証明書。

• 公証 (Notarization): Appleが提供するセキュリティサービスで、ソフトウェアにマルウェアが含まれていないかを事前にチェックし、実行を許可する仕組み。

• 情報元: OpenAI’s response to the Axios developer tool compromise