OpenAI、TanStack npmサプライチェーン攻撃で社員端末2台が侵害—macOS版ChatGPT等は6月12日までに更新必須

MacでChatGPTやCodexを使っているなら、この記事は他人事ではありません。2026年5月、OpenAIが「TanStack npmサプライチェーン攻撃」への対応を公表しました。きっかけは、世界中の開発者が使うオープンソースライブラリの侵害。社員端末2台から認証情報が抜き取られ、結果としてアプリの「正規の証明書」を入れ替える大ごとに発展しました。なぜたった2台の侵害が、これほど大きな対応につながったのか。そして私たちユーザーは、6月12日までに何をすべきなのか。順を追って見ていきます。

OpenAIは2026年5月13日、オープンソースライブラリTanStack npmが関与するサプライチェーン攻撃「Mini Shai-Hulud」に関する対応を公表した。

2026年5月11日(UTC)、TanStackが侵害され、OpenAIの企業環境内にある従業員のデバイス2台が影響を受けた。第三者のデジタルフォレンジック・インシデントレスポンス企業と連携し調査を実施した結果、当該従業員がアクセス可能であった社内ソースコードリポジトリの一部から、限定的な認証情報の持ち出しが確認された。

ユーザーデータ、本番システム、知的財産、配布ソフトウェアへの侵害は確認されていない。影響を受けたリポジトリには、iOS、macOS、Windows向け製品の署名証明書が含まれており、OpenAIはコードサイニング証明書をローテーションする。macOSユーザーは2026年6月12日までにChatGPT Desktop、Codex App、Codex CLI、Atlasの各アプリを更新する必要がある。WindowsおよびiOSユーザーに対応は求められていない。

本事案は、Axios事案後に展開していたセキュリティ制御の段階的ロールアウトの最中に発生した。

From: Our response to the TanStack npm supply chain attack

【編集部解説】

今回のOpenAIの発表で最も注目すべきは、被害そのものよりも「現代のソフトウェア開発の前提が揺らぎ始めている」という構造的事実です。AI開発の最前線を走るOpenAIですら、自社のセキュリティ網ではなく、依存する外部ライブラリを通じて社内に侵入されたという点に、この事案の本質があります。

侵害された「TanStack」は、Reactを使うWebアプリケーション開発で広く採用されているライブラリ群です。中でも@tanstack/react-routerは週あたり約1,200万ダウンロードを記録する人気パッケージで、知らず知らずのうちに多くのプロダクトに組み込まれています。

攻撃の手口を提供したのは「TeamPCP」と呼ばれる脅威アクターグループです。彼らは2026年3月のTrivy(コンテナ脆弱性スキャナ)、Checkmarx、4月のBitwarden CLI侵害なども手がけており、開発者向けツールを連続的に標的にしてきた前歴があります。

今回の攻撃で特に厄介なのは、攻撃者がnpmトークンやパスワードを直接盗んだわけではない、という点です。TanStack公式の検証によれば、攻撃者は実行中のGitHub ActionsワークフローのメモリからOIDC(OpenID Connect)トークンを抜き取り、それを用いてTanStack本人の正規IDとしてnpmレジストリに公開しました。公開ワークフローそのものが改ざんされたのではなく、正規の発行経路がそのまま悪用された——この6分間で84バージョン、42パッケージが汚染されたのです。

さらに踏み込んだ事実として、SnykやStepSecurityの分析によれば、今回汚染されたパッケージには有効なSLSA Build Level 3のプロベナンス(出所証明)が付与されていました。これはアプリ配布に使う「コードサイニング証明書」とは別の仕組みで、「このパッケージは本物のビルド環境から正規の手順で生成された」ことを示す暗号学的なお墨付きにあたります。その来歴証明が悪意あるパッケージにも付いていた——「プロベナンスがあるから安全」という前提が崩れた、初の文書化事例とされています。

OpenAI側の対応も、事案の規模を物語っています。影響を受けた社員端末はわずか2台。それにもかかわらず、Windows、macOS、iOS、Android向けのコードサイニング証明書をすべてローテーションするという、大規模な再署名対応を迫られました。これは「2台の端末」が「企業の信頼の根」につながっていた、現代の開発組織の構造を可視化しています。

ここで読者の皆さんに知っておいていただきたいのは、OpenAIが言及している「minimumReleaseAge」という設定です。これは、npmなどで新しく公開されたばかりのパッケージを一定期間ダウンロードさせない仕組みで、攻撃者が悪意あるバージョンを公開してから検知・削除されるまでの「危険な時間帯」をやり過ごす防御策です。OpenAIはAxios事案を受けてこの設定を全社展開している途中で、未適用の2台が今回被弾しました。完璧な対策の不在を責めるよりも、「対策の段階的展開中に攻撃が起こり得る」という現実を共有することに価値があります。

ポジティブな側面として評価できるのは、OpenAIの透明性の高さです。事案発生から約2日でフォレンジック企業を入れ、技術的詳細とFAQを公開した姿勢は、危機対応の好事例として参照されるでしょう。攻撃の事実、影響範囲、未適用の理由、ユーザーの取るべき行動を率直に書く——これは「Tech for Human Evolution」を標榜するメディアとして見過ごせない誠実さです。

一方、潜在的なリスクは個々のユーザーの先にも広がっています。TanStack公式の検証によれば、今回マルウェアが標的にしたのは、AWSやGCPの認証情報、Kubernetesのシークレット、Vaultの資格情報、GitHubトークン、SSH秘密鍵といった、デジタル文明の「インフラの鍵」そのものです。これらは盗まれた瞬間にワーム(自己増殖型マルウェア)の燃料となり、被害者が管理する他のパッケージへと連鎖侵入していきます。「Shai-Hulud」というコードネームがSF小説『デューン』の砂虫から来ているのは、この自己増殖性を示唆しているわけです。

長期的に見ると、AI関連企業や開発ツール提供企業が次々と標的になっている事実は重要なシグナルです。今回のキャンペーンではOpenAIに加えてMistral AIやUiPathへの波及が確認されており、セキュリティ各社の報道ではOpenSearchやGuardrails AIなど他組織のパッケージも影響を受けたと伝えられています。TeamPCPが狙っているのは、AIモデルの学習データやモデル重みそのものではなく、その「組み立てライン」——AI/ML開発エコシステム全体です。

規制と業界標準への影響も見逃せません。米国ではEO 14028(2021年大統領令)を起点に、連邦政府調達やNIST・NTIA・OMBのガイダンスを中心としてSBOM(ソフトウェア部品表)の要求が広がってきました。しかしSLSAプロベナンスのような暗号学的検証ですら今回突破されたことで、「来歴の証明」だけでは不十分という議論が加速するはずです。報告義務が2026年9月、主要義務が2027年12月から段階適用されるEUのCRA(サイバーレジリエンス法)とも合わせ、開発組織の責任範囲は確実に広がっていきます。

日本のテクノロジー現場にとってのインプリケーションは明確です。第一に、ChatGPT DesktopやCodex、Atlasのデスクトップ版をMacで利用している方は、2026年6月12日までに必ずアプリを更新してください。第二に、自社プロダクトのpackage.jsonやrequirements.txtに並んでいる依存関係を、いま一度棚卸ししてみることをおすすめします。第三に、CI/CD環境のシークレット管理は、もはや「あれば安心」ではなく「常に攻撃対象」という前提で再設計すべき領域に入りました。

未来を作る道具が、未来を脅かす経路になる——この皮肉な構造をどう乗り越えるかが、これからのテクノロジー業界全体の宿題です。

【用語解説】

Mini Shai-Hulud(ミニ・シャイ・フルード)
2026年4月末から観測されている自己増殖型(ワーム型)マルウェアキャンペーンの名称である。名称はSF小説『デューン』に登場する巨大な砂虫「シャイ・フルード」に由来する。感染した開発者環境から認証情報を奪い、その認証情報を使って別のパッケージに次々と感染を広げる挙動が特徴である。

TeamPCP(チームピーシーピー)
今回の攻撃の実行主体とされる脅威アクターグループ。2026年3月にTrivyやCheckmarx、4月にBitwarden CLI、5月にTanStackと、開発者向けツールやAI関連ライブラリを連続的に標的にしている。

サプライチェーン攻撃
製品が完成するまでの「供給網(サプライチェーン)」の途中に悪意あるコードを混入させる攻撃手法である。最終製品の利用者は正規の入手経路を経ているため、攻撃に気づきにくいという特性を持つ。

npm(エヌピーエム)
JavaScript/TypeScript向けのパッケージマネージャー兼レジストリ。世界中の開発者が共有するライブラリの保管場所であり、現代のWeb開発を支える中心的なインフラとなっている。

CI/CDパイプライン
継続的インテグレーション(Continuous Integration)/継続的デプロイメント(Continuous Deployment)の略。ソースコードの変更を自動でテスト・ビルド・公開する仕組みで、現代のソフトウェア開発に欠かせない自動化基盤となっている。

OIDCトークン
OpenID Connectという認証プロトコルで発行される、身元を証明するための一時的な電子チケットである。今回はGitHub Actionsの実行プロセスのメモリから抽出され、TanStack本人になりすますための鍵として悪用された。

SLSAプロベナンス
SLSA(Supply-chain Levels for Software Artifacts)は、Googleが2021年に提唱し、現在はOpenSSF(Open Source Security Foundation)が管理するソフトウェアの来歴を保証する規格である。プロベナンス(出所証明)は「このパッケージが、どこで、どうやってビルドされたか」を暗号学的に記録する仕組み。今回の事案は、有効なSLSA Build Level 3証明が付与された悪意あるパッケージが配布された、最初の文書化事例とされている。

minimumReleaseAge(ミニマムリリースエイジ)
npmやpnpmなどのパッケージマネージャーが備える設定で、「公開されてから一定時間が経過していないパッケージはインストールしない」というルールを強制する仕組みである。攻撃直後の最も危険な時間帯にパッケージを取り込まないための防御策となる。

コードサイニング証明書
ソフトウェアが「正規の開発元によって作られた本物である」ことを暗号学的に証明するための電子証明書。これが第三者に渡ると、悪意あるアプリが正規のソフトに偽装可能となる。

ノータライゼーション(公証)
Apple独自の仕組みで、macOSアプリをApple側のサーバーに送って審査を受け、配布許可を得るプロセス。これを通っていないアプリは、macOSのセキュリティ機能により既定でブロックされる。

Axios事案
2026年3月31日に発覚した、JavaScript用HTTPクライアントライブラリ「axios」のnpmパッケージ汚染事案である。同ライブラリのメンテナアカウントが乗っ取られ、悪意あるバージョン(v1.14.1ほか)が公開された。Google Threat Intelligence Groupなどの脅威情報では、北朝鮮系の脅威アクター(UNC1069。Lazarus Group/BlueNoroffと関連づける報道もある)の関与が報告されている。OpenAIのmacOSアプリ署名用GitHub Actionsワークフローがこの汚染版を取り込んだことが2026年4月10日に公表され、初回のコードサイニング証明書ローテーション(2026年5月8日期限)に至った。今回のTanStack事案は、その経験を踏まえた防御策を全社展開している最中に発生したものである。

SBOM(エスボム)
Software Bill of Materialsの略。ソフトウェアに含まれる部品(依存ライブラリ)の一覧を機械可読な形式で記述したもの。米国では政府調達ソフトウェアへの提出が要求されている。

【参考リンク】

OpenAI(オープンエーアイ)公式サイト（外部）
ChatGPTやGPTシリーズを開発するAI研究企業。今回のTanStack npmサプライチェーン攻撃の対応を公表した当事者である。

TanStack(タンスタック)公式サイト（外部）
React Router、React Query、TanStack TableなどモダンなWeb開発向けライブラリ群を提供するOSS。

TanStack 公式ポストモーテム（外部）
侵害を受けたTanStack側が公開した、技術的経緯と再発防止策を詳述する検証記事である。技術的一次情報として極めて有用。

npm 公式サイト（外部）
JavaScript/TypeScript用のパッケージレジストリ兼マネージャー。今回の汚染パッケージが配布された経路となった。

GitHub Actions 公式ページ（外部）
GitHubが提供するCI/CD実行基盤である。今回の攻撃で乗っ取られたOIDCトークンが流通していた重要な発生現場。

SLSA 公式サイト（外部）
ソフトウェアサプライチェーンの完全性と来歴を担保するための仕様。プロベナンス検証の業界標準を目指す取り組みである。

Mistral AI 公式サイト（外部）
フランス発のAI開発企業で、Mistral Largeなどを提供。今回のキャンペーンでパッケージが影響を受けた一社である。

UiPath 公式サイト（外部）
RPA(業務自動化)市場の大手企業。@uipath名前空間のnpmパッケージが今回の攻撃で大規模に汚染された企業である。

OpenSearch 公式サイト（外部）
Elasticsearchから派生したオープンソースの検索・分析エンジン。npmクライアントが今回の汚染対象に含まれていたと報じられている。

ChatGPT 公式サイト（外部）
今回の証明書ローテーション対象であるmacOSデスクトップ版を含む、OpenAIの主力対話型AIチャットサービスである。

【参考記事】

OpenAI confirms security breach in TanStack supply chain attack（外部）
OpenAIの社員端末2台の侵害、Mistral AIやUiPathへの波及、コードサイニング証明書ローテーションの詳細を扱う。

TanStack npm Packages Hit by Mini Shai-Hulud（外部）
6分間で84バージョン・42パッケージ汚染、SLSAプロベナンス付き悪意あるパッケージの初の文書化事例を詳しく分析する。

Postmortem: TanStack npm supply-chain compromise（外部）
被害側のTanStackが公開した検証記事である。3段階の脆弱性連鎖を詳細に解説した技術的な一次情報として極めて重要。

Mini Shai-Hulud Strikes Again: TanStack + more npm Packages Compromised（外部）
クラウドセキュリティ大手による分析。@tanstack/react-routerの週1,200万ダウンロード規模と波及範囲を整理。

TeamPCP’s Mini Shai-Hulud Is Back（外部）
攻撃を最初に検知した企業の解説。SLSA Build Level 3プロベナンス悪用という前代未聞の事態を技術的に詳述。

TeamPCP Used Mini Shai-Hulud Worm to Poison Over 400 npm and PyPI Packages（外部）
5時間以内に172パッケージ・400バージョン超が汚染されたSafeDepの調査結果と、PyPIへの拡大を網羅的に伝える。

OpenAI asks macOS users to update after TanStack npm supply chain attack（外部）
Mistral AIへの被害状況、TeamPCPによる内部リポジトリ売却の動き、英政府の指摘などを伝える包括的な報道である。

OpenAI Impacted by North Korea-Linked Axios Supply Chain Hack（外部）
前段のAxios事案を伝えた記事。週1億回ダウンロード規模のaxiosが北朝鮮系UNC1069に汚染された経緯を詳述する。

Axios Supply Chain Attack Reaches OpenAI macOS Signing Pipeline（外部）
2026年3月31日にOpenAIのmacOSアプリ署名用ワークフローがaxios v1.14.1を取り込んだ経緯を技術解説。

TanStack Supply Chain Attack Hits Two OpenAI Employee Devices, Forces macOS Updates（外部）
OpenAIが2か月連続でコードサイニング証明書をローテーションする事態を、両事案の連続性の文脈から整理した報道である。

Axios Breach Fallout: OpenAI’s MacOS App Updates Explained（外部）
Google Threat Intelligence Group報告に基づき、UNC1069による2026年3月のaxios v1.14.1侵害を解説する。