OpenAI、2026年3月のAxiosに続きTanStack npmサプライチェーン攻撃の影響を受けたとして再び署名証明書を更新するため、macOSユーザーに対し6月12日までにChatGPTやCodex、Atlasアプリをアップデートするように要求。

　OpenAIが2026年3月のAxios事件に続きTanStack npmサプライチェーン攻撃の影響を受けたとして署名証明書を再度更新するとしてmacOSユーザーに対し6月12日までにChatGPTやCodex、Atlasアプリのアップデートを要求しています。詳細は以下から。

　米OpenAIは2026年03月にAxios npmサプライチェーン攻撃で侵害されたライブラリがOpenAIのGitHub Actions Workflow経由でOpenAIが開発するmacOSアプリの署名環境へアクセスできる状況にあったとして、05月にApple Developer ID証明書を更新(ローテーション)しましたが、

We recently identified a security issue involving a third-party developer tool, Axios, that was part of a widely reported, broader industry incident⁠(opens in a new window). Out of an abundance of caution we are taking steps to protect the process that certifies our macOS applications are legitimate OpenAI apps. We found no evidence that OpenAI user data was accessed, that our systems or intellectual property was compromised, or that our software was altered.

Our response to the Axios developer tool compromiseより

同社は現地時間2026年05月13日、Mini Shai-Hulud⁠として知られるTanStack npmサプライチェーン攻撃により、OpenAI従業員のデバイス2台が影響を受けたとして、06月に再び各証明書の更新を行うため、macOSユーザーに対し06月12日までに最新のChatGPTアプリやCodexアプリ/CLI、Atlasブラウザへアップデートするように要求しています。

We recently identified a security issue involving a common open-source library, TanStack npm, that is part of a broader attack known as Mini Shai-Hulud⁠(opens in a new window). We found no evidence that OpenAI user data was accessed, that our production systems or intellectual property were compromised, or that our software was altered.

Our response to the TanStack npm supply chain attackより

2度のサプライチェーン攻撃

　OpenAIによると、今回のサプライチェーン攻撃によるユーザーデータの侵害や漏洩は一切確認されていないそうですが、侵害されたデバイスから従業員2人がアクセス権を持っていた内部コードのリポジトリにアクセスされ、限定的な認証情報が流出しとして予防的に証明書を更新(ローテーション)するそうで、

As a result, we are rotating code-signing certificates as a precaution, which will require macOS users to update their applications. Users do not need to take any action for Windows and iOS apps. Additional guidance will be provided to macOS users regarding these required updates.[…]Once we fully revoke our certificate on June 12, 2026, new downloads and launches of apps signed with the previous certificate will be blocked by macOS security protections.

Our response to the TanStack npm supply chain attackより

macOSアプリに使われている古い証明書は混乱を避けるため2026年6月12日に完全失効させるそうですが、それまでにmacOS用のChatGPTやCodexアプリ、Atlasブラウザを最新バージョンへアップデートしていない場合は、前回同様にAppleのGatekeeperによりアプリがブロックされ、強制的に削除(ゴミ箱行き)されるのでユーザーの方は期限までにアップデートしておくことをオススメします。

失効した証明書で署名されていたChatGPTアプリ

OpenAIの対応

• ChatGPT デスクトップ版をダウンロードする – OpenAI
• Our response to the Axios developer tool compromise – OpenAI
• Our response to the TanStack npm supply chain attack – OpenAI