Apple、元従業員がゼロデイ脆弱性悪用し機密ファイルを窃取と主張
原題: Apple says former employee exploited ‘rare’ bug to download confidential files after leaving for OpenAI
なぜ重要か
元従業員によるゼロデイ脆弱性を介した機密窃取は、企業の退職者アカウント管理やエンドポイントセキュリティの盲点を浮き彫りにし、業界全体に対策強化を促す事例となる。
Appleは2026年7月13日、OpenAIへの転職後に元従業員のChang Liuがゼロデイ脆弱性を悪用して社内ネットワークに不正アクセスし、未発表製品に関する機密ファイル「数十件」を数週間にわたりダウンロードしたと訴訟で主張した。Appleはすでに当該脆弱性を修正し、アクセスを遮断したとしている。
Appleは2026年7月11日(金)、OpenAIを相手取り営業秘密の窃取を訴える訴訟を提起し、その訴状の中で元従業員によるセキュリティ侵害の詳細を明らかにした。
訴状によると、システム電気エンジニアのChang LiuはAppleを退職してOpenAIに入社した後も、社内ネットワークに不正アクセスを継続した。Appleは、Liuが「稀で、事前に知られていなかった認証バグ」を悪用したと主張している。この脆弱性はゼロデイ脆弱性に分類され、Appleが修正する時間がないまま悪用されたとされる。
窃取されたとされるファイルには、未発表製品に関する詳細情報、エンジニアリングプレゼンテーション資料、技術仕様書、独自プロジェクトデータが含まれるとAppleは主張している。Appleのサーバーログの確認によれば、この脆弱性を悪用したのはLiu一人のみであったが、理論上は「数人」が同様のアクセスを行い得た状態だったという。
また、Liuはかつて使用していたApple支給のノートパソコンを返却せず、OpenAI在籍中もそれを用いて社内システムへのアクセスを継続した疑いがある。さらに、当時まだAppleに在籍していた知人のYu-Ting Peng(後にOpenAIに転職)のApple支給端末を無断で使用したとも訴状は指摘している。
Appleは当該脆弱性を修正し、「セキュリティ侵害」を把握した時点でLiuのアクセスを終了させたと述べている。Appleの広報担当者は、TechCrunchが送った脆弱性の詳細や悪用方法、アカウント無効化のタイミングに関する質問への回答を拒否した。
この件は、退職した従業員のアカウントや端末を完全に無効化・回収することの重要性を改めて示すものとなっている。