Notepad++ v8.9.2 Released with “Double-Lock” Update Mechanism Following Recent Hack
2026/02/18 CyberSecurityNews — Notepad++ は v8.9.2 をリリースし、”Double-Lock” 更新メカニズムと呼ばれる重要なセキュリティ強化策を導入した。この更新は、広く利用されている OSS テキスト/コード・エディタにおける更新インフラの脆弱性を標的とする、国家支援型の APT 攻撃に対処するものである。
先月に Notepad++ の公式 Web サイトが公表したのは、更新チャネルを乗っ取った攻撃者が、悪意のアップデートを配布できる状態になっていたことだ。このインシデントを受け、開発チームは更新検証プロセスの強化を約束し、その対応が v8.9.2 のリリースで実装された。
更新プロセスの強化
最新リリースでは、更新ファイルに対する XMLDSig (XML Digital Signature) 検証が導入された。Notepad++ の更新サーバから返される XML データは暗号学的に署名され、更新が適用される前に署名と証明書の双方が検証される。これにより、v8.9.2 以降のすべての更新は、信頼された Notepad++ 証明書により検証された場合のみ、受け入れられるようになる。
さらに Notepad++ は、開発者たちが “Double-Lock” 更新システムと呼ぶ、二重の独立検証モデルを採用した。これらの対策が相まって、更新ファイルに対する傍受や改竄を防止する強固なセキュリティ・モデルが構築された。開発チームは、この設計により更新プロセスが堅牢で悪用不可能 (robust and unexploitable) になると説明している。
| Verification Layer | Source | Version | Purpose |
|---|---|---|---|
| XML Signature Verification | Notepad++ official site | v8.9.2 | Verifies signed update metadata (XML) to prevent tampering or spoofed update info. |
| Installer Signature Verification | GitHub | v8.8.9 | Validates installer digital signature to block modified or malicious binaries. |
WinGUp Auto-Updater の強化
更新のダウンロードとインストールを管理する WinGUp Auto-Updater についても、構造的な見直しを含めた大幅なセキュリティ強化が施された。
| Category | Improvement | Description |
|---|---|---|
| Update Security | XMLDSig signing | Update XML files from Notepad++ server are digitally signed for integrity verification. |
| Double Verification | Dual update validation | Signed XML (official site) + signed installer from GitHub. |
| Certificate Enforcement | Strict signature checks | Certificates validated before updates install. |
| Auto-Updater Hardening | Removed libcurl.dll | Eliminates DLL side-loading risk. |
| Stronger SSL | Disabled weak cURL options | Enforces stricter TLS/SSL validation. |
| Plugin Control | Signed plugins only | Only plugins signed with official certificate allowed. |
| Stability & Transparency | Bug fixes + public response | Improves stability and maintains open communication post-incident. |
なお、手動での更新管理を希望するユーザーは、インストール時に Auto-Updater を無効化することが可能である。あるいは、以下の MSI パラメータを使用することで自動更新機能を無効化できる。
"msiexec /i npp.8.9.2.Installer.x64.msi NOUPDATER=1"
この問題は、Notepad++ の更新チャネルにおける、不十分な検証強度に起因するものです。更新メタデータやインストーラの真正性の確認が、単一層に依存していたことで、更新経路が侵害された場合に悪意のバイナリ配布が成立し得る状態でした。新たな v8.9.2 では、XMLDSig による更新 XML 署名検証と、GitHub 配布インストーラの署名検証を組み合わせた “Double-Lock” 方式が導入されています。さらに WinGUp Auto-Updater も強化され、DLL サイドローディングの余地や、脆弱な SSL 設定が排除されました。ご利用のチームは、アップデートをお急ぎください。よろしければ、Notepad++ での検索結果もご参照ください。
IoT OT Security News 
You must be logged in to post a comment.