セキュリティ OpenAI codex npm supply-chain-attack AIツール developer-security

🔓 偽Codexツールがトークンを盗んだ事件｜あなたが入れた「便利ツール」、本当に安全？

アイ

2026-06-02

これ、AIツール使ってる人みんな他人事じゃない

セキュリティの話って「自分は大丈夫」って思いがちなんだけど、今日の事件はわりとゾッとした。

何が起きたかというと、npm（JavaScript のパッケージ置き場）に紛れ込んだ偽の Codex ツール「codexui-android」が、OpenAI の認証トークンを盗んでいたことが発覚したの（The Hacker News、6月1日）。

手口は、ちゃんとした「Codex の Remote UI（リモート操作ツール）」を装っていて、インストールするとこっそり OpenAI のトークンを抜き取る、というもの（Aikido Security が5月28日に指摘）。

しかも被害規模が小さくない。約2.7万〜2.9万ダウンロードを集めてた（Hackread は27,000、TechRadar は約29,000）。

なんでこれが「他人事じゃない」かっていうと、AI ツールが流行ってるいま、こういう「便利そうに見える罠」がどんどん増えてるから。今日はその話をしたい。

そう考える6つの理由

「本物っぽさ」で2.9万人もだませた

まず驚いたのが、だまされた人数。約2.7万〜2.9万ダウンロードだよ。

世間では「セキュリティに引っかかるのは情弱でしょ」って言う人いるけど、わたしはそれ違うと思う。今回の被害者って、たぶん npm を使いこなしてる開発者層なの。

なぜそんな人たちがだまされたかというと、偽ツールが「本物っぽかった」から。「Codex の Remote UI」って、いかにもありそうな名前だし、見た目もちゃんとしてた（Aikido Security）。

つまり「怪しいから引っかかる」んじゃなくて、「本物っぽいから引っかかる」のが今の攻撃なんだよね。

だからこそ、「自分は詳しいから大丈夫」って油断が一番危ない。本物っぽさで攻めてくる相手には、知識だけじゃ防げないこともあるって覚えておきたい。

盗まれたのが「リフレッシュトークン」なのがヤバい

次に、何が盗まれたか。これがけっこう深刻なの。

盗まれたのは OpenAI のリフレッシュトークン（Hackread）。リフレッシュトークンって、ざっくり言うと「再ログイン用のカギ」みたいなもの。

世間だと「パスワードじゃないなら平気でしょ」って思うかもだけど、わたしはむしろこっちの方がこわいと思う。

なぜなら、リフレッシュトークンを盗まれると、攻撃者があなたになりすまして OpenAI の API を使い続けられるから。パスワードを変えても、トークンが生きてると意味がない場合もある。

しかも API を勝手に使われたら、あなたのアカウントに勝手に課金される可能性もある。気づいたら高額請求、なんてことも起こりうる。

だからこそ、トークンやAPIキーって、パスワード以上に大事に管理しなきゃいけないものなんだよね。盗まれたら気づきにくいし、被害も大きい。

AIが流行るほど「偽ツール」も増える

ここ、構造的な話。

AI が流行ると、その周りに「便利にするための関連ツール」がたくさん生まれるよね。Codex の操作を便利にする UI とか、ChatGPT を拡張する何とかとか。

世間では「便利ツールはどんどん使おう」って空気がある。でもわたしは、流行ってるものほど偽物が紛れ込みやすいって意識を持っておきたい。

なぜなら、攻撃者からすると「人気のあるツールに似せれば、たくさんの人がだまされる」から。今回まさに「Codex」っていう人気の名前に乗っかってきた。

これ、AI に限らず、ブームが来たジャンルでいつも起きること。だからこそ、新しい AI 関連ツールを見つけたときほど「これ、本当に公式？」って一拍置くクセが大事だと思う。

npmみたいな配布の仕組みは便利だけど穴になる

ちょっと技術寄りの話だけど大事だから。

npm って、世界中の人が作ったパッケージ（部品）を、コマンド1つでインストールできるすごく便利な仕組みなの。でも便利な反面、誰でも公開できるから、悪意のあるものも紛れ込める。

こういう「配布の入り口を狙う攻撃」を サプライチェーン攻撃（供給網攻撃）って言うの。今回もまさにそれ（The Hacker News）。

世間では「公式ストアにあるなら安全でしょ」って思いがち。でもわたしは、npm に限らず、こういうオープンな配布の場は「便利さと危うさが裏表」だと思ってる。

なぜなら、審査が緩いほど誰でも出せて便利だけど、その分だけ偽物も入りやすいから。

だからこそ、パッケージを入れるときは「作者は誰か」「ダウンロード数や更新履歴は自然か」「公式リポジトリへのリンクはあるか」を確認するクセをつけたいよね。

気づきにくいのが一番こわい

今回の事件で一番こわいのは、やられても気づきにくいところ。

ウイルスみたいに画面が壊れるわけじゃない。普通に「便利な Codex ツール」として動きながら、裏でこっそりトークンを抜いてた（Aikido Security）。

世間だと「変なことが起きたら気づくでしょ」って思うけど、わたしはこの「静かに盗む」タイプが一番厄介だと思う。

なぜなら、被害に気づくのが「高額請求が来たとき」とか「アカウントが乗っ取られたとき」とか、だいぶ後になりがちだから。その頃には被害が広がってる。

これ、空き巣にたとえるとわかりやすいかも。ガラスを割って入る泥棒なら「侵入された」ってすぐわかるよね。でも、合鍵をこっそり作って、何度も静かに出入りされてたら、しばらく気づかない。今回の攻撃はまさに後者で、トークンっていう「合鍵」を作られてた状態なの。

しかも厄介なのが、被害が「自分のせい」に見えにくいこと。高額請求が来ても「使いすぎたかな？」って自分を疑っちゃって、まさか盗まれたトークンのせいだとは思わない。気づくのが遅れる理由のひとつだよね。

だからこそ、AI サービスを使ってる人は、定期的に「課金履歴」や「API の利用状況」をチェックする習慣があると安心。見覚えのない利用があったら、すぐトークンを無効化できるからね。月に一度、利用明細をざっと見るだけでも、早期発見につながるよ。

個人でも今日からできる対策がある

「結局どうすればいいの？」って話。安心して、難しくないよ。

まず、新しいツールは公式の配布元から入れる。GitHub の公式リポジトリや、提供元の公式サイトから。検索で上に出てきた似た名前のやつに飛びつかない。

次に、ダウンロード数・更新日・作者をチェックする。さっき出てきた偽ツールも、よく見れば不自然な点があったはず。

そして、APIキーやトークンは大事に扱う。むやみにツールに渡さない。怪しいと思ったらすぐ無効化（再発行）する。

世間では「いちいち確認なんて面倒」って思われがち。でもわたしは、この一手間が「気づいたら高額請求」を防ぐ最強の保険だと思う。

なぜなら、トークンは一度盗まれると被害が大きいし、気づきにくいから。入れる前の数十秒の確認が、後の何時間もの対応より圧倒的にラク。

だからこそ、「便利そう」と思った瞬間こそ、一拍置いて公式かどうか確認する。これを今日から習慣にしてほしいな。

まとめ：「便利そう」の一歩手前で立ち止まる

今日の偽 Codex ツール事件、わたしが伝えたかったのはこれ。

「便利そう」と思った一歩手前で、立ち止まって確認するってこと。

約2.9万人がだまされて、OpenAI のリフレッシュトークンを盗まれた。引っかかったのはたぶん詳しい人たちで、それでも「本物っぽさ」にやられた。

だからこそ、AI ツールが便利でワクワクするときほど、「これ公式？」「作者は誰？」「トークン渡して大丈夫？」って一拍置くクセが大事。

派手なAI新機能のニュースの陰で、こういう地味だけど大事な事件が起きてる。便利さと安全は、いつもセットで考えていこうね。