OpenAI社(ChatGPTの開発会社)は、サードパーティ製ツールに関連するセキュリティ脆弱性の発見を確認しましたが、ユーザーデータがアクセスされたり、システムが侵害されたりする兆候は確認されていないと強調しました。
発表によると、この事件は、大規模なソフトウェアサプライチェーン攻撃で3月31日に侵害されたと特定された人気のある開発ライブラリAxiosに端を発しています。
OpenAIは、攻撃により、GitHub Actionsでの作業プロセスが誤ってAxiosの悪意のあるバージョンをダウンロードして実行したと述べています。
このプロセスは、ChatGPT Desktop、Codex、Codex-cli、Atlasなど、macOSアプリケーションにサインするために使用される認証証明書とドキュメントにアクセスできます。
しかし、分析の結果、同社はこれらの署名された証明書が盗難に成功したことを示す証拠はないと断言しました。同時に、OpenAIはソフトウェアの変更、知的財産の侵害、またはユーザーデータへの不正アクセスも記録していません。
問題の根本原因は、GitHub Actionsプロセスの構成エラーであると特定されました。OpenAIは、この問題は修正され、ソフトウェアサプライチェーンの制御を強化するために追加のセキュリティ対策が実施されていると述べています。
リスクを最小限に抑えるために、同社はセキュリティ認証を更新しており、すべてのmacOSユーザーにOpenAIアプリケーションを最新バージョンにアップグレードするように要求しています。
この動きは、偽のアプリケーションが古い証明書を利用して悪意のあるソフトウェアを拡散するリスクを防ぐことを目的としています。
さらに、OpenAIは、5月8日からmacOS上のChatGPTアプリケーションの古いバージョンはサポートまたは更新されなくなり、動作を停止する可能性があると発表しました。安全と安定したエクスペリエンスを確保するために、ユーザーは早期に更新することをお勧めします。
特に、同社は、ユーザーのパスワードとAPIキーが今回のインシデントの影響を受けていないことも確認しました。
