OpenAIは、TanStack npmパッケージを狙ったサプライチェーン攻撃の影響により、同社の従業員端末2台が不正アクセスされたと公表しました。
同社によると、影響を受けたのは社内のコーポレート環境にある従業員端末であり、限定的な社内ソースコードリポジトリにおいて、認証情報に関係する一部データの不正アクセスおよび外部送信が確認されています。
一方で、OpenAIは、ユーザーデータ、本番環境、知的財産、公開済みソフトウェアが侵害または改ざんされた証拠は確認されていないと説明しています。また、顧客や利用者のパスワード、APIキーは影響を受けていないとしています。
今回の事案で重要なのは、攻撃がOpenAIを直接狙った単独の侵入ではなく、広く使われるオープンソース依存関係を経由したサプライチェーン攻撃だった点です。開発者端末やCI/CD環境にインストールされた悪意あるパッケージが、GitHubトークン、クラウド認証情報、SSH秘密鍵などを窃取する構造であり、開発環境そのものが攻撃対象になっています。
何が起きたか
2026年5月11日、TanStackのnpmパッケージ群がMini Shai-Huludと呼ばれるサプライチェーン攻撃の影響を受けました。
TanStackの公表によると、攻撃者は42個の@tanstack/* npmパッケージに対し、合計84個の悪意あるバージョンを公開しました。公開は2026年5月11日19時20分から19時26分頃までの短い時間に行われています。
関連:TanStackのnpmパッケージ42件にサイバー攻撃でマルウェアが混入、GitHub Actions 経由で認証情報窃取の恐れ(CVE-2026-45321)
悪意あるパッケージは、開発者やCI環境でnpm install、pnpm install、yarn installが実行された際に、インストール時のライフサイクル処理を利用して不正なJavaScriptを実行する仕組みでした。この処理により、AWS、GCP、Kubernetes、Vault、npm、GitHub、SSH秘密鍵などの認証情報を収集し、外部へ送信する可能性がありました。
OpenAIでは、この攻撃により社内の従業員端末2台が影響を受けました。調査の結果、影響を受けた従業員がアクセス可能だった限定的な社内ソースコードリポジトリで、マルウェアの挙動と一致する認証情報の窃取活動が確認されています。
OpenAI利用者への影響-macユーザーは要対応
OpenAIは、ChatGPTやOpenAI APIの利用者について、パスワードやAPIキーの変更は不要と説明しています。ユーザーデータや顧客情報がアクセスされた証拠は確認されていません。
ただし、macOS版のOpenAIアプリを利用している場合は対応が必要です。OpenAIはコード署名証明書の更新に伴い、macOSユーザーに対して2026年6月12日までに最新バージョンへ更新するよう案内しています。
対象には、ChatGPT Desktop、Codex App、Codex CLI、Atlasが含まれます。
OpenAIによると、Windows版およびiOS版アプリについては、利用者側で必要な対応はありません。
macOSユーザーは、アプリ内更新またはOpenAIの公式配布元から更新する必要があります。メール、メッセージ、広告、ファイル共有リンク、第三者のダウンロードサイトから送られてくるOpenAI、ChatGPT、Codexを名乗るインストーラーは利用しないよう注意が必要です。
には、OpenAI製品のコード署名証明書に関係する情報が含まれていたため、同社は予防的措置としてコード署名証明書のローテーションを実施しています。
現在の対応
OpenAIは、影響を受けた端末とIDを隔離し、ユーザーセッションの無効化、影響を受けたリポジトリの認証情報ローテーション、コードデプロイワークフローの一時制限、認証情報とユーザー挙動の精査を実施しました。
また、第三者のデジタルフォレンジックおよびインシデント対応企業を起用し、調査と封じ込めを進めています。
コード署名証明書については、Windows、macOS、iOS、Android向けの署名情報が影響を受けたため、OpenAIは全アプリを新しい証明書で再署名しています。特にmacOSについては、旧証明書の完全失効後、古いバージョンの新規ダウンロードや初回起動がmacOSのセキュリティ保護によりブロックされる可能性があるため、更新期限が設けられています。
TanStack側では、影響を受けたバージョンの非推奨化、npmへの削除依頼、GitHub Security Advisoryの公開、GitHub Actionsキャッシュの削除、ワークフローの見直し、外部アクションのSHA固定などの対策を実施しています。
原因
今回の根本原因は、TanStackのパッケージ公開プロセスにおいて、複数の既知の攻撃手法が組み合わされたことです。
TanStackの事後分析では、攻撃は3つの要素を連鎖させて成立したと説明されています。
1つ目は、GitHub Actionsのpull_request_targetを使ったワークフローで、外部フォーク由来のコードが信頼境界を越えて実行される構造です。pull_request_targetは、権限を持つベースリポジトリ側のコンテキストで動作するため、扱いを誤ると外部からのPull Requestが高い権限を持つ処理に影響できます。
2つ目は、GitHub Actionsのキャッシュポイズニングです。攻撃者は、Pull Request側の処理で汚染したキャッシュを保存させ、その後の正規リリースワークフローが同じキャッシュを復元するようにしました。
3つ目は、GitHub Actions Runner上のメモリからOIDCトークンを抽出する手法です。これにより、正規のnpm trusted publishingの仕組みを悪用し、正当な公開経路に見える形で悪意あるパッケージがnpmへ公開されました。
重要なのは、npmトークンが盗まれたわけではなく、通常のnpm公開ワークフロー自体が改ざんされたわけでもない点です。信頼されたCI/CDパイプラインの周辺にある設定、キャッシュ、OIDC権限が組み合わされ、正規の公開経路を悪用されたことが問題です。
情報システム部門が確認すべきポイント
今回の事案は、アプリ利用者だけでなく、開発部門と情報システム部門が共同で確認すべきサプライチェーンインシデントです。
まず、2026年5月11日に@tanstack/*パッケージをインストールした開発者端末、CIサーバー、ビルド環境、コンテナビルド環境がないかを確認してください。package-lock.json、pnpm-lock.yaml、yarn.lock、CIログ、アーティファクト生成ログを確認し、影響を受けたバージョンが取り込まれていないかを調査する必要があります。
次に、該当環境で実行時にアクセス可能だった認証情報を洗い出してください。GitHubトークン、npmトークン、クラウドAPIキー、SSH秘密鍵、Kubernetesトークン、Vaultトークン、CI/CD用シークレットなどが対象です。該当パッケージをインストールした可能性がある環境では、端末単位ではなく、到達可能だった認証情報単位でローテーションを検討する必要があります。
また、クラウド監査ログ、GitHub監査ログ、npm公開履歴、CI/CDジョブログを確認してください。認証情報が窃取されていた場合、攻撃者がリポジトリの閲覧、シークレット取得、パッケージ公開、クラウドリソース作成、ストレージアクセスを試みている可能性があります。
OpenAIアプリを社内で利用している場合は、macOS版の更新状況も確認してください。従業員が個人判断で非公式サイトからOpenAIアプリを再インストールしないよう、公式配布元やアプリ内更新を使うよう周知する必要があります。
開発組織で確認すべき検知ポイント
悪意あるTanStackパッケージでは、package.jsonに不審なoptionalDependenciesが含まれていたことが確認されています。特定のGitHubコミットを参照する@tanstack/setupが含まれている場合は、影響を受けたパッケージである可能性があります。
また、パッケージ内にrouter_init.jsという難読化されたJavaScriptファイルが含まれているかも確認ポイントです。TanStackとGitHub Security Advisoryでは、このファイルが悪意あるペイロードの一部として説明されています。
ネットワーク監視では、Session/Oxen系のファイルアップロードネットワークへの通信が確認対象です。ただし、暗号化された経路が使われるため、通信内容の確認だけでは不十分です。インストール履歴、ファイル痕跡、CIログ、認証情報の利用履歴を組み合わせて判断する必要があります。
CI環境では、外部Pull Requestから実行されるワークフロー、pull_request_targetの利用、GitHub Actionsキャッシュの使い方、id-token: writeの付与範囲を確認してください。特に、外部フォーク由来のコードをチェックアウトしてビルドする処理と、OIDC trusted publishingを同じ流れで扱っている場合は危険です。
出典
この記事をシェアする
メールマガジン
最新のセキュリティ情報やセキュリティ対策に関する情報をお届けします。
投稿者:三村
セキュリティ製品を手がける上場企業にて、SOC(セキュリティオペレーションセンター)運営およびWebアプリケーション脆弱性診断の営業に8年間従事。その後、システムエンジニアへ転身し、MDMや人事系SaaSの開発に携わる。
8年の実務経験と開発者としての知見を活かし、「セキュリティ対策Lab」ではダークウェブ調査、セキュリティインシデントの分析、および高度なセキュリティ対策解説の執筆・編集を統括しています。
LinkedIn(外部サイト)