概要
人気フロントエンドライブラリTanStackのnpmパッケージを標的にしたサプライチェーン攻撃「Mini Shai-Hulud」キャンペーンが2026年5月11日に発覚し、OpenAIの従業員デバイス2台が侵害された。攻撃を実行したのはTeamPCPと呼ばれる脅威グループで、42個の@tanstack/*パッケージ全体にわたって84個の悪意のあるバージョンが埋め込まれ、npmとPyPIを合わせて170以上のパッケージが影響を受けた。UiPath、Mistral AI、OpenSearch、Guardrails AIなども被害を受けており、OpenAIに限らずOSSエコシステム全体への広範な影響が明らかになっている。
OpenAIは「内部ソースコードリポジトリから限定的な認証情報のみが流出した」と声明を発表し、顧客データ・本番システム・知的財産への影響はなかったと確認している。ただし、影響を受けた2台のデバイスは、2026年3月の別のサプライチェーン攻撃(Axios関連インシデント)後に順次展開されていた新しいセキュリティ制御をまだ受け取っていない状態だった。このロールアウトの遅れが攻撃成功の一因となったとみられる。
技術的な詳細
攻撃の中核となったのは「Shai-Hulud」ワームで、正規のTanStackパッケージをクローンした悪意のあるパッケージを通じて開発者の環境に侵入する。ワームはGitHubトークン、クラウド認証情報、npm認証情報、CI/CD認証情報を窃取することに特化しており、単純な認証情報盗難にとどまらない高度な手口も確認されている。
特に注目すべきはCI/CDパイプラインの悪用だ。TanStack自身が明かしたところによると、「攻撃者は自社のCIパイプラインが自身の発行トークンを盗み出すというパスを構築することに成功した」という。これは開発者のローカル環境だけでなく、継続的インテグレーションシステム自体を攻撃ベクトルとして利用する高度な侵害手法を示している。
さらにセキュリティ研究者は「FIRESCALE」と呼ばれるフォールバック機構を特定した。プライマリのC2(コマンド&コントロール)インフラが利用不能になった際、GitHubのコミットメッセージから代替サーバーURLを検索するという巧妙な設計で、攻撃インフラの耐障害性を高めている。また、マルウェアにはイスラエルとイランのIPアドレスを持つ端末上でファイル削除を実行する地理的位置情報に基づく破壊的機能も内包されており、無差別な攻撃ではなく意図的な標的化が行われていたことが示唆される。
OpenAIの対応とユーザーへの影響
OpenAIは侵害を確認後、影響を受けたシステムとアイデンティティの隔離、全リポジトリにわたる認証情報のローテーション、ユーザーセッションの一括取り消し、コードデプロイメントワークフローの一時的な制限を実施した。加えて、iOS・macOS・Windowsのコード署名証明書をすべて取り消し、アプリケーションの再署名を行っている。
macOSユーザーには2026年6月12日までに以下のアプリケーションを最新バージョンへ更新することが求められている。期限を過ぎると旧証明書が正式に失効し、アプリケーションが動作しなくなる可能性がある。
- ChatGPT Desktop
- Codex App
- Codex CLI
- Atlas
OpenAIは「旧証明書を使用した全ソフトウェア認証を確認した結果、既存のインストール環境への侵害やリスクの証拠は見つからなかった」と述べており、既存インストールへの二次被害は現時点では確認されていない。
今後の課題
今回の事件は、OSSの依存関係管理がソフトウェアサプライチェーン全体のセキュリティ上の急所となっていることを改めて示した。特にCI/CDパイプラインを悪用する攻撃手法やFIRESCALEのような高度なフォールバック機構は、従来の境界防御だけでは対処が困難であることを浮き彫りにする。パッケージの整合性検証、依存関係の固定(ロックファイルの活用)、CI/CDトークンの最小権限原則の徹底など、サプライチェーンセキュリティの多層的な強化が業界全体で求められている。