Github Actions

• OpenAI は Axios 開発者ツールを介したサプライチェーン攻撃の影響を受けて、macOS アプリの署名証明書を再発行したことを発表しています。
• ユーザーには認証プロセスの保護を強化するために、古いアプリを最新版に更新することを推奨し、2026 年 5 月 8 日から旧バージョンはサポート停止となります。
• 調査結果によりユーザーデータは侵害されておらず、パスワードや API キーも影響を受けていないことが確認され、悪意のあるソフトウェアの配布は未然に防がれています。

このインシデントは、開発者ツールの浮動タグ（floating tag）設定の不備により、Apple の App Store 署名認証プロセス自体が攻撃対象になったことを示しており、ソフトウェアサプライチェーンの脆弱性と、署名材料を巡る新たなセキュリティリスクを示唆しています。

• SHA ピンによる依存管理の脆弱性が、Trivy の不正コード挿入インシデントによって浮き彫りになり、業界推奨アプローチへの疑問を投げかけられています。
• GitHub Actions はコミット SHA に基づく解決時にフォークからのオブジェクトも許可し、オーナーやレポジトリ名が明示されていてもセキュリティリスクが拡大していることが実証されました。
• コンテンツアドレスベースの SHAs の無制限な信頼は「セキュリティシアタ」に過ぎず、より堅牢な provenance チェックと人間可読性の高いタグ管理が必要です。

SHA ピンが提供される不透明な保証が、フォーク攻撃を招き依存関係の制御不能リスクを高めるという根本的な設計缺陷が浮き彫りになったためです。