What(何が起きた):3月31日のaxiosマルウェア混入事件がOpenAIの社内にも波及。macOS版ChatGPT・Codexのビルド工程で悪意あるコードが実行された。
Impact(影響は):あなたのChatGPTアカウント・APIキーは無事。被害はOpenAI社内の「アプリ製造ライン」のみ(OpenAI公式確認)。
Action(対応は):macOS版ChatGPT・Codexを使っている人は2026年5月8日までに最新版へ更新するだけでOK。
この記事ではセキュリティに特化して解説します。AIセキュリティ全般は サプライチェーンセキュリティ完全ガイド2026|攻撃手法・防御ツール・実践チェックリスト をご覧ください。
まず確認:あなたは対応が必要?(30秒チェック)
自分がどのグループに当てはまるか確認するだけでOKです。
アカウント・データは安全"] Start -->|"macOS版アプリ"| Mac["⚠ 最新版に更新
期限:2026年5月8日"] Start -->|"開発者(npm利用)"| Dev["⚠ axiosバージョン確認
1.14.1 / 0.30.4なら即更新"] style Safe fill:#50C878,color:#fff style Mac fill:#FF6B6B,color:#fff style Dev fill:#FF6B6B,color:#fff
| あなたのタイプ | やること | 緊急度 |
|---|---|---|
| Web版・iOS・Android・Windowsユーザー | 何もしなくてOK | なし |
| macOS版アプリユーザー | アプリを最新版に更新 | 5月8日まで |
| 開発者(npm/GitHub Actions利用) | axiosバージョン確認+ロックファイル点検 | 今すぐ |
何が起きたか:事件の流れをわかりやすく解説
まず、今回の事件を理解するためのキーワードを整理します。
| 用語 | 読み方 | ひとことで言うと |
|---|---|---|
| axios | あくしおす | Webアプリの「通信部品」。週間1億DL超のメジャー品 |
| npm | エヌピーエム | 部品(ライブラリ)の配布サービス。「部品のAmazon」 |
| GitHub Actions | ギットハブアクションズ | コード変更のたびに自動でビルド・テスト・配布するサービス |
| サプライチェーン攻撃 | — | 本体ではなく「部品」を汚染して間接的に攻撃する手法 |
| コード署名証明書 | — | アプリが「本物」であることを証明する電子的な公印 |
事件の流れ
3月31日、攻撃者がaxiosの公開アカウントを乗っ取り、マルウェア(悪意あるプログラム)が仕込まれた偽バージョン([email protected])をnpmに公開しました。
OpenAIの社内システムはmacOSアプリを製造する際にGitHub Actionsでaxiosを自動ダウンロードしており、この汚染バージョンを取り込んでしまいました。
「ユーザーデータがアクセスされた、システムや知的財産が侵害された、ソフトウェアが改ざんされたという証拠は見つかっていない」
— OpenAI公式発表(2026年4月10〜11日)
攻撃はOpenAI社内のビルドインフラに限定されており、ChatGPTのサーバー・データベース・ユーザーアカウントには影響していません。
3月31日のaxiosサプライチェーン攻撃自体の技術詳細(攻撃の手口・RAT配布の仕組み・感染確認コマンド)は、axiosマルウェア混入事件の全貌:NPMサプライチェーン攻撃でRAT配布、感染確認と対策手順で詳しく解説しています。
この章のポイント
- axiosの汚染バージョン(
[email protected])がOpenAIのGitHub Actionsに混入 - 被害はmacOSアプリのコード署名工程のみに限定
- ユーザーデータ・APIキー・会話履歴は一切影響なし(OpenAI公式確認)
(部品の配布サービス) participant GH as 🏭 OpenAI
GitHub Actions participant Build as 🔧 ビルドパイプライン
(アプリ製造ライン) participant App as 💻 macOSアプリ Attacker->>npm: ① [email protected] 汚染版を公開
(3月31日) GH->>npm: ② ワークフローがaxiosを自動取得 npm->>GH: ③ マルウェア入り[email protected] GH->>Build: ④ マルウェア実行(コード署名工程) Build->>App: ⑤ コード署名・公証処理 Note over Build: コード署名証明書の
流出は「おそらく失敗」 Note over App: バイナリ改ざんの
証拠なし
影響を受けたアプリ:macOS版だけ、それ以外は安全
| アプリ | プラットフォーム | 影響 | あなたの対応 |
|---|---|---|---|
| ChatGPT Desktop | macOS | ⚠ あり | 最新版に更新 |
| Codex | macOS | ⚠ あり | 最新版に更新 |
| Codex-cli | macOS | ⚠ あり | 最新版に更新 |
| Atlas | macOS | ⚠ あり | 最新版に更新 |
| ChatGPT | iOS / Android | ✅ なし | 対応不要 |
| ChatGPT | Windows / Web | ✅ なし | 対応不要 |
侵害されたのはmacOS向けアプリのビルド・署名プロセスのみ。配布済みアプリのバイナリ(実行ファイルそのもの)が改ざんされたという証拠はありません。
この章のポイント
- iOS・Android・Windows・Webは影響ゼロ。何もしなくてOK
- macOS版4アプリ(ChatGPT Desktop・Codex・Codex-cli・Atlas)のみ対象
- バイナリ改ざんの証拠なし。ただし念のため最新版への更新を推奨
なぜ「被害なし」なのに専門家が深刻視するのか
「ユーザーデータに被害なし」と聞いて安心した方も多いでしょう。しかしセキュリティの専門家が今回を深刻視する理由が2つあります。
理由①:コード署名証明書(アプリの「公印」)が狙われた
コード署名証明書とは、アプリが「本物のOpenAIが作ったもの」であることを証明する電子的な「公印・印鑑」です。
もしこの証明書が攻撃者に盗まれていたら、OpenAIのアプリを装った偽アプリ(マルウェア)を、本物と見分けがつかない形で配布できてしまいます。これはユーザーデータ窃取よりも一段危険なエスカレーション(攻撃の拡大)です。
今回OpenAIは「証明書が持ち出された可能性は低い」と発表しましたが、「可能性はゼロではない」という点が注意すべきポイントです。
理由②:サプライチェーン攻撃の「成功例」が証明された
axiosのような超メジャーなライブラリを経由して、世界トップクラスのAI企業のビルドパイプラインに侵入できた——これ自体が攻撃者にとって「有効なルートが存在する」ことを証明してしまいました。
今後、同様の手法が他のソフトウェアベンダーにも使われるリスクが高まっています。
この章のポイント
- コード署名証明書が標的になった = ユーザーデータ窃取より上位のリスク
- 週間1億DLのaxiosが踏み台にされた事実は「有名=安全」の前提を崩す
- 今後同手法が他社ビルドパイプラインにも使われるリスクあり
Claude Code Axios連携と今回の侵害の関係
「claude code axios」で情報を探している読者が気になるのは、「今回のaxios侵害がClaude Codeにも影響するのか」という点だろう。現時点で公開されている情報を整理すると、今回OpenAIが公式発表した侵害は、Claude Code本体とは直接関係していない。侵害されたのはOpenAIの内部GitHub Actionsワークフローで、影響範囲はmacOS版ChatGPT Desktop / Codex / Codex-cli / Atlas の4アプリに限定される(OpenAI公式発表)。AnthropicのClaude Codeの内部ビルドパイプラインがこの攻撃で汚染されたという公式確認はない。
ただし、Claude Codeを使う開発者にとって無関係ではない論点が3つある。
| 論点 | 今回判明した事実 | 開発者がやるべきこと |
|---|---|---|
| ①依存axiosの混入リスク | 週間1億DLのaxiosが@1.14.1/@0.30.4で汚染された |
Claude Codeで生成したコードのnpm依存にaxiosが含まれる場合は npm list axios で確認 |
| ②npmパッケージ経由の伝搬 | CI/CDで npm install 実行時に汚染版を自動取得した事例が発生 |
npm ci に切り替えてロックファイルを厳守する |
| ③Claude Code関連の直近インシデント | 5日前の3月31日にClaude Code自体のソース流出が発生(詳細) | Anthropic/OpenAIともにnpmエコシステム経由のリスクを抱える |
Claude Code自体は2026年3月31日に別件でnpmソースマップ経由の大規模流出を経験しており(Claude Codeソースコード流出の全貌)、Axios侵害とは独立した事案だ。両者に共通するのは、npmエコシステムの信頼境界が開発者ツールの供給チェーンで弱点になっているという構造的な問題である。Claude Code経由で生成したコードにaxiosが含まれる場合、ロックファイルの検証と npm ci の徹底はAnthropic/OpenAIどちらのツールを使っていても共通の防御策になる。
GlassWorm攻撃との違い:2種類のサプライチェーン攻撃
最近、GlassWorm(グラスワーム)サプライチェーン攻撃も大きな話題になりました。同じ「サプライチェーン攻撃」でも、手口は全く異なります。
| 項目 | 今回のaxios攻撃 | GlassWorm攻撃 |
|---|---|---|
| たとえ話 | 信頼された食材メーカーの製品を毒入りに差し替え | 食材の成分表に目に見えないインクで偽の成分を書き加え |
| 攻撃手法 | 正規パッケージを偽バージョンに差し替え | 不可視のUnicode文字でコードに悪命令を埋め込む |
| 検出難易度 | npm audit では検出不可(自己削除機能) |
目視・通常の検索では発見不可 |
| 主な被害対象 | ビルドパイプライン(CI/CD自動処理) | コードレビューを通過するマルウェア混入 |
| 攻撃規模 | OpenAIを含む複数社の内部システム | GitHub 151件・VSCode拡張72件 |
「開発者が信頼するものを悪用する」——これが両攻撃に共通するコンセプトです。検出方法が全く異なるため、1つの対策では防げません。
OpenAIの対応:業界標準となるべき透明性
OpenAIが実施した4つの対応:
| ステップ | 対応内容 | 評価 |
|---|---|---|
| ① 隔離と調査 | 侵害されたGitHub Actionsワークフローを停止、フォレンジック(デジタル鑑識)調査を実施 | ✅ 迅速 |
| ② 証明書確認 | コード署名証明書が持ち出された可能性は低いと判断 | ✅ 適切 |
| ③ 新版配布 | 影響を受けた4アプリの新バージョンをリリース | ✅ 適切 |
| ④ 公式開示 | 4月10〜11日に公開ブログで詳細を透明性をもって発表 | ✅ 高評価 |
多くの企業が侵害を隠蔽しがちな中、侵害発覚から2週間以内に、影響範囲・対応策・ユーザーへの指示を透明性をもって開示した点は業界標準となるべき対応です。「被害なし」と黙殺せず、事実を公開した姿勢が信頼につながります。
開発者が今すぐ確認すべき3つのアクション
□ macOS版OpenAIアプリを最新版に更新(期限:2026年5月8日)
□ 自プロジェクトの axios 依存バージョンを確認・更新
□ CI/CDパイプラインの依存関係ロックファイルを再確認
アクション① macOS版OpenAIアプリを更新する
# Homebrew(macOSのパッケージ管理ツール)でインストールしている場合
brew upgrade --cask chatgpt
# 直接ダウンロードの場合
# アプリ内のアップデート確認、またはOpenAI公式サイトから再ダウンロード
バージョン確認コマンド:
# ChatGPT Desktopのバージョン確認
defaults read /Applications/ChatGPT.app/Contents/Info CFBundleShortVersionString
# Codex-cli(npmでインストールしている場合)
codex --version
アクション② 自プロジェクトのaxiosバージョンを確認
# axiosのバージョン確認
npm list axios
# ⚠ 以下のバージョンが表示されたら即更新!
# [email protected] ← 汚染版
# [email protected] ← 汚染版
# 安全なバージョンに更新
npm update axios
# 脆弱性の自動スキャン
npm audit
注意:npm audit だけでは今回のマルウェアは検出できません。マルウェアは実行後に自身を自動削除する機能を持っているためです。詳しくはaxiosマルウェア混入事件の全貌を参照してください。
アクション③ CI/CDの依存関係をロックする
これが今回の最大の教訓です。npm install ではなく npm ci を使うことで、ロックファイルに書かれたバージョンのみをインストールし、未知のバージョンの混入を防ぎます。
# GitHub Actions の設定例(.github/workflows/build.yml)
- name: Install dependencies
run: npm ci # ← npm install ではなく npm ci を使う!
# npm ci = ロックファイルを厳守(安全)
# npm install = 新バージョンが出ていたら自動取得(危険)
今回の事件のように、CI/CDの自動化パイプラインはOSS開発環境のセキュリティリスクと表裏一体です。依存関係の管理は常に最優先事項として扱いましょう。
今後の教訓:4つのルールを覚えておく
今回の事件が残した教訓を整理します。
| ルール | 解説 | |
|---|---|---|
| ❌ | 週間1億DLのaxiosでさえ攻撃の踏み台に。人気≠安全 | |
| ✅ | ロックファイルは「生命線」 | package-lock.json / yarn.lock をコミットし、CIで npm ci を使う |
| ✅ | 透明性ある開示が信頼をつくる | OpenAIは迅速に情報公開。他のベンダーにも求められる姿勢 |
| ✅ | サプライチェーン攻撃は「上流」を狙う | 3月31日のaxios攻撃が証明したように、直接攻撃ではなく「信頼する部品」を汚染する |
関連記事: サプライチェーンセキュリティ完全ガイド2026|攻撃手法・防御ツール・実践チェックリスト
まとめ:あなたが今日やること
自分に当てはまるグループを確認して対応しましょう:
✅ 一般ユーザー(Web・iOS・Android・Windows)
対応不要。アカウント・APIキー・支払情報・会話履歴はすべて安全です。何もしなくて大丈夫。
⚠ macOS版アプリユーザー
期限は2026年5月8日。ChatGPT Desktop / Codex / Codex-cli / Atlas を最新版へ更新。brew upgrade --cask chatgpt またはアプリ内アップデートで完了。
⚠ 開発者(npm / GitHub Actionsを使うプロジェクト)
npm list axios で汚染バージョン(1.14.1 / 0.30.4)がないか即確認。package-lock.json をコミットし、CIで npm install → npm ci に切り替え。
- axiosマルウェア混入事件の全貌:NPMサプライチェーン攻撃でRAT配布、感染確認と対策手順 — 3月31日のaxios攻撃の技術詳細
- GlassWormサプライチェーン攻撃 — もう一つのサプライチェーン攻撃手法
- OSS開発環境のセキュリティリスク — CI/CDパイプラインの安全対策
