Notepad++ Users Targeted After State-Backed Attackers Hijack Update Servers
2026/02/02 gbhackers — Notepad++ に仕掛けられた洗練されたサプライチェーン攻撃は、中国の国家支援を受けた高度な脅威アクターにより実行されたと見られている。この攻撃により、約 6 ヶ月間にわたりアップデート・インフラが侵害された。きわめて選択的な標的設定と、攻撃全体を通じて示された高度な技術的洗練度に基づき、この攻撃は中国の国家支援グループによるものであると、セキュリティ専門家たちは評価している。
攻撃のタイムラインと範囲
侵害は 2025年6月に開始された。この脅威アクターが獲得したのは、Notepad++ のアップデート管理システムをホストする、共有ホスティング・サーバへのアクセスである。 ホスティング・プロバイダーの調査によると、攻撃者は 2025年9月2日まで永続的なアクセスを維持していたが、予定されていたカーネルおよびファームウェアの更新により、直接的な接続は遮断された。 しかし攻撃者は、窃取した認証情報を用いて内部サービスへのアクセスを維持しており、2025年12月2日に至るまで、アップデート通信を傍受/改竄する能力を継続していた。
この攻撃者の戦術は、マルウェアを無差別に展開するものではなく、高精度な標的化を採用するものだった。特定のユーザーからのアップデート要求だけを選別して、攻撃者が管理するサーバへリダイレクトし、悪意のインストーラー・パッケージを配布していた。 この洗練された手法は、国家レベルの能力を示すものであり、Notepad++ の旧バージョンにおけるアップデート検証の弱点が把握されていたと示唆される。 この攻撃は、Notepad++ のアップデート機構における、暗号学的な検証の不十分さを悪用したものである。
ホスティング・プロバイダーのログによると、攻撃者は Notepad++ のドメインを特定して照会しており、同アプリケーションのセキュリティ態勢に対する事前偵察を実施していたことが確認されている。この攻撃者は、Notepad++ のコード上の脆弱性ではなく、インフラ層への侵害を活用した。その結果として、getDownloadUrl.php エンドポイントを操作し、悪意のダウンロード URL を返すことが可能となった。 特筆すべき点として、侵害されたサーバ上で二次的な侵害の証拠は確認されておらず、この作戦の唯一の標的が Notepad++ であったことが裏付けられている。
是正措置と再発防止
Notepad++ が実施したのは、強化されたセキュリティ・アーキテクチャを備える、新たなホスティング・プロバイダーへの移行である。 WinGup アップデータは v8.8.9 において強化され、証明書/インストーラ署名の双方を検証する構成となった。
さらに、アップデート・サーバから返されるすべての XML レスポンスは、XMLDSig 標準に基づきデジタル署名されるようになった。検証の強制は v8.9.2 で開始される予定であり、同バージョンは 1 ヶ月以内に提供される見込みである。 ホスティング・プロバイダー側でも、すべてのサービスにわたる認証情報のローテーション/脆弱性パッチ適用を含む包括的なハードニング対策が実施され、既知の弱点の悪用防止が図られた。
このインシデントは、サプライチェーン攻撃がソフトウェア配布エコシステムにもたらす持続的な脅威を浮き彫りにするとともに、アップデート機構における暗号学的な検証の重要性を強く示している。
この問題の原因は、ソフトウェアの更新を管理するサーバへの不正アクセスを許してしまったこと、そして、更新ファイルの正当性を確かめる仕組みが不十分だったことにあります。具体的には、共有ホスティング・サーバの制御を奪った攻撃者が、特定のユーザーに対してだけ “偽のダウンロード先” を伝えるようにプログラムを書き換えていました。当時の Notepad++ では、ダウンロードしたファイルの真正性と、通信の内容に対する改竄を厳密にチェックする、暗号学的な検証が不足していたことで、この悪意のインストーラーを正規の更新として受け入れられてしまいました。このように、アプリ本体の欠陥ではなく、配布ルートというサプライチェーンの弱点が突かれたことが、このインシデントの大きな要因です。よろしければ、カテゴリー SupplyChain も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.