倫理Discord Botsコミュニティランキングプライバシー利用規約

開示とポリシー: ND MAGAZINE はデジタルカルチャー、インターネットコミュニティ、オンチェーン市場を扱います。編集チームは独立して運営されており、寄稿者は本サイトで取り上げるデジタル資産を保有したり、関連プロジェクトに参加している場合があります。本サイトの意見や解説は情報提供と論評を目的としたものであり、投資助言ではありません。ポリシーに関するお問い合わせや編集依頼はcontact@ndmag.xyzまでご連絡ください。

© 2026 NDD INC. All rights reserved.

分析 Cookie を許可しますか?

ND MAGAZINE は必須保存を維持し、トラフィックや機能利用の分析は同意後にのみ有効化します。

←Back
OpenAI、AIベースのマルウェアキャンペーンによるセキュリティ侵害を確認
NewsSecurity

OpenAIのセキュリティ侵害を確認:「ミニ・シャイ=フルード」サプライチェーン攻撃とAI脅威の進化

OpenAIは2026年5月14日、「ミニ・シャイ=フルード」と命名された巧妙なサプライチェーン攻撃を通じて内部システムが侵害されたことを公式に確認した。今回の事件は、AI技術を悪用したマルウェアが生成AIの先駆者たちを直接標的にした事例として記録された。

クリエイターHeny
日付2026年5月15日

2026年5月14日、OpenAIは「ミニ・シャイ=フルード(Mini Shai-Hulud)」と呼ばれる巧妙なサプライチェーン攻撃を通じて内部システムが侵害されたことを公式に確認した。今回の事件は、生成AI時代を切り拓いた設計者たちを対象にAIベースのマルウェアが使用された重大なセキュリティ脅威の拡散を意味する。

OpenAIセキュリティチームの発表によると、今回の侵害は従業員のデバイス2台が悪性コードに感染したことから始まった。攻撃者は内部リポジトリへのアクセスに成功したが、現在までユーザーの個人情報や機密データが流出した形跡は見つかっていないと、同社は強調した。

サプライチェーン攻撃を通じて内部ストレージへのアクセスが発生したが、ユーザーデータは影響を受けていないことが把握された。

調査の結果、今回の侵害は2名の従業員のデバイスが悪性コードに感染したことから始まったことが判明した。攻撃者は開発者が一般的に使用するツールを通じて内部ネットワークに侵入する権限を獲得し、これによりOpenAIの内部コードリポジトリの一部にアクセスしたことが確認された。

「ミニ・シャイ=フルード」サプライチェーン攻撃の実体

今回の攻撃の核心である「ミニ・シャイ=フルード」キャンペーンは、TanStackのような広く使用されているnpmパッケージを主な標的とした。攻撃者はこれらのパッケージに悪性スクリプトを挿入して開発者の作業環境を汚染する手法を取り、これにより企業内部ネットワークへ進入する足がかりを確保した。

  • npmパッケージ内への悪性コード挿入を通じた開発者デバイスの感染
  • Axiosライブラリ(v1.14.1、v0.30.4)を通じたリモートアクセスツール(RAT)の配布
  • Hugging Face内の偽OpenAIモデルを活用した認証情報の奪取

特にJavaScriptライブラリであるAxiosの特定バージョンで発見された悪質なアップデートは、北朝鮮を背景に持つ脅威グループに関連していると分析された。該当する悪質なバージョンは約3時間配布され、リモートアクセスツール(RAT)を含んでいたため、開発者環境に深刻なリスクをもたらした。

また、2026年5月12日頃、Hugging Faceプラットフォームにおいて、OpenAIの公式配布版を装った偽のAIモデルが発見された。このモデルはWindowsシステムで認証情報を奪取するインフォスティーラー(infostealer)マルウェアを含んでおり、削除されるまで同プラットフォームで最も多くダウンロードされたプロジェクトの一つとして名を連ねた。

市場の反応と2026年のAI脅威の展望

セキュリティ侵害のニュースとOpenAIの目標達成失敗の報告が重なり、市場は即座に反応した。NvidiaやAMDなどの主要なAIチップメーカーの株価が急落し、Microsoftの株価も1.3%下落するなど、テクノロジーセクター全体にわたる不安を反映した。

CrowdStrikeの2026年脅威レポートによると、今や「プロンプトが新しいマルウェア」となる時代が到来した。攻撃者は生成AIツールを悪用して認証情報を奪取するコマンドを生成したり、検知を避けるためにリアルタイムで自己適応する AIベースのマルウェアを配布したりしている。

即時の対応および推奨事項

  • macOSユーザーは、セキュリティパッチが含まれるすべての関連アプリを直ちに最新バージョンにアップデートすること
  • AxiosおよびTanStackの依存関係に対するセキュリティ監査を直ちに実施し、悪質なバージョンが含まれていないか確認すること
  • 公式チャネル以外で配布されているAIモデルのインストールを控え、チェックサム検証を実行すること
  • サプライチェーンの脆弱性を狙った追加の攻撃の可能性を継続的に監視すること

OpenAIは今回の事件を機に内部セキュリティプロトコルを強化し、サプライチェーンパートナーとの協力を拡大している。専門家は、AI産業が成長するにつれて、それを標的としたサイバー攻撃の巧妙さもさらに高まるだろうとし、開発エコシステム全体のセキュリティ意識の向上が不可欠であると助言した。

本コンテンツは情報提供と論評を目的としたものであり、投資助言ではありません。

この記事について話しましょう

ほかの読者の反応を見ながら、自分の意見も残せます。

関連記事

イーサリアム財団、AIでバリデーター停止バグを発見…「人間の検証は依然として不可欠」

イーサリアム財団、AIでバリデーター停止バグを発見…「人間の検証は依然として不可欠」

イーサリアム財団のセキュリティチームが、AIエージェントのスウォームを活用してネットワークノードを停止させる可能性のある致命的なバグを発見した。しかし、膨大な虚偽の報告の中から実際の脅威を特定するための、人間の専門家による「トリアージ」能力が重要な課題として浮上している。

Jul 11, 2026, 12:00 AM
イーサリアム財団、AIエージェントを投入しネットワークのセキュリティ脆弱性に先制対応

イーサリアム財団、AIエージェントを投入しネットワークのセキュリティ脆弱性に先制対応

イーサリアム財団が、AIエージェントを活用してプロトコルコードの脆弱性を分析・分類する新しいセキュリティ戦略を公開した。これは、昨年4月に発表された100万ドル規模のセキュリティ監査助成金プログラムとともに、エコシステムのセキュリティを強化する核心的な柱となる見通しだ。

Jul 10, 2026, 12:00 AM
AIが短縮させたセキュリティ監査の有効期限:クリプトセキュリティのパラダイムシフト

AIが短縮させたセキュリティ監査の有効期限:クリプトセキュリティのパラダイムシフト

2026年7月現在、AIベースの脆弱性検知ツールの飛躍的な発展により、数ヶ月に及んでいたスマートコントラクトのセキュリティ監査の有効期限がわずか数日に短縮されている。業界は今、一回限りの監査を超え、リアルタイムAI防御体系への転換を急いでいる。

Jul 9, 2026, 12:00 AM