OpenAI、ハッカーによりデータ盗取被害を確認
原題: OpenAI says hackers stole some data after latest code security issue
なぜ重要か
AI企業も標的となる供給網攻撃の深刻化により、オープンソース依存のセキュリティリスクが浮き彫りとなった
OpenAIは、人気オープンソースライブラリTanStackを狙った供給網攻撃により、同社従業員2名のデバイスが感染し、限定的な認証情報が盗まれたと5月14日に発表した。ユーザーデータや本格運用システムへの影響は確認されていないが、予防措置として製品署名に使用するデジタル証明書を更新する。
OpenAIは水曜日、今週発生した供給網攻撃により同社従業員2名のデバイスが被害を受けたことを公式ブログで明らかにした。この攻撃は、ウェブアプリ開発で広く使用されるオープンソースライブラリTanStackが標的となった事件の一部である。TanStackは月曜日、ハッカーが6分間の窓口期間中に84の悪意あるバージョンを公開したことを公表し、研究者が20分以内に攻撃を検知したと報告していた。悪意あるバージョンには、インストールされたコンピュータから認証情報を盗取し、他システムに自己拡散するよう設計されたマルウェアが含まれていた。OpenAIの調査によると、被害を受けた従業員がアクセス権を持つ限定的な内部ソースコードリポジトリで不正アクセスと認証情報の盗取が確認された。同社は「OpenAIユーザーデータへのアクセス、本格運用システムや知的財産の侵害、ソフトウェアの改変を示す証拠は発見されていない」と強調した。影響を受けたリポジトリには製品署名用のデジタル証明書が含まれていたため、予防措置として証明書の更新を実施し、macOSユーザーにはアプリの更新が必要になる。