
Appleは、元エンジニアがOpenAIに移籍した数週間後に、これまで知られていなかった認証の脆弱性を悪用して、数十件の機密ハードウェア関連ファイルをダウンロードしたと告発している。米カリフォルニア北部地区連邦地方裁判所に提出された訴訟によるものだ。
訴状によると、2026年初めにAppleを離れOpenAIに移ったシステム電気エンジニアのChang Liu氏は、退職後に「稀で、これまで知られていなかった認証バグ」を発見し悪用して、Appleのクラウドベースのファイルリポジトリにアクセスしたという。Appleがその後パッチを適用したとしているこの脆弱性により、Liu氏は2026年2月を通じて未発表の製品仕様書、エンジニアリングプレゼンテーション、専有プロジェクトデータを取得できたという。
「LOL、[ネットワークストレージ]にアクセスできるのを見つけた、すごく面白い」とLiu氏は、当時Apple社員で後に同じくOpenAIに移ったYu-Ting Peng氏へのメッセージに書いている。
Appleは、Liu氏がバグを報告せず:雇用契約で義務付けられていたにもかかわらず:退職後にアクセスツールを削除しなかったと主張している。また、Liu氏はApple支給のノートパソコンを返却せず、Peng氏がまだAppleに在職中に彼女の作業用マシンを使用して機密データへのアクセスを継続したとも同社は主張している。
本訴訟は、OpenAIがAppleのハードウェア部門から人材を引き抜く中で、両テクノロジー大手間の緊張の高まりを浮き彫りにしている。Appleは陪審裁判を要求しており、脆弱性の技術的詳細やLiu氏の認証情報がいつ無効化されたかについてのコメントを控えている。
OpenAIはこれまでに「他社の営業秘密には関心がない」と述べている。同社は本訴訟の具体的な申し立てについてはコメントしていない。
このケースは、企業データセキュリティにおける永続的な盲点、すなわち従業員の退職からアクセス認証情報の完全な無効化までのギャップを浮き彫りにしている。認証システムにおける未報告のゼロデイ脆弱性と組み合わさると、そのギャップは開かれた扉となる。
出典: Apple says former employee exploited ‘rare’ bug to download confidential files after leaving for OpenAI (TechCrunch、2026年7月)
雅子 訳

