概要:Notepad++アップデート基盤への長期的な侵害
Windows向けの広く利用されているテキストエディタ「Notepad++」のアップデート提供インフラが、**6か月にわたり**、国家支援型と疑われるハッカーによって侵害されていたことが明らかになりました。攻撃者はこの制御を利用し、特定のターゲットに対し**バックドアが仕込まれた**アプリケーションバージョンを配布していたと報告されています。開発者は「このハイジャックによって影響を受けた全てのユーザーに深くお詫び申し上げます」と述べました。
攻撃の詳細とタイムライン
この攻撃は昨年6月に開始され、「notepad-plus-plus.org」宛てのアップデートトラフィックを傍受・リダイレクトすることが可能なインフラレベルの侵害でした。複数の調査機関が中国政府関連のハッカーと断定した攻撃者は、特定の標的ユーザーを悪意のあるアップデートサーバーに選択的にリダイレクトし、バックドア付きのアップデートを受け取らせていました。Notepad++は12月までインフラの制御を取り戻すことができませんでした。攻撃者によってインストールされたペイロードは「Chrysalis」と名付けられており、セキュリティ企業Rapid 7はこれを「カスタムで機能豊富なバックドア」と説明し、「その幅広い機能は、これが一時的なユーティリティではなく、洗練された永続的なツールであることを示している」と述べています。
アップデートインフラをホストしていたプロバイダーは、9月2日まで侵害が続いていたことを確認しました。その後も攻撃者は、12月2日まで内部サービスへの認証情報を保持し続け、選択されたアップデートトラフィックを悪意のあるサーバーにリダイレクトする能力を維持していました。脅威アクターは、「特にNotepad++の古いバージョンに存在していた**不十分なアップデート検証制御**を悪用することを目的として、Notepad++ドメインを標的にした」とのことです。
脆弱性と手口の分析
独立研究者のケビン・ボーモント氏は、この攻撃について詳細な分析を行っています。以前のNotepad++バージョンでは、アップデートダウンロードの堅牢なチェックが不足しており、特に古いバージョンではHTTP経由での通信や、自己署名ルート証明書の使用が見られました。GUP (WinGUP) と呼ばれるNotepad++独自のアップデーターがバージョン情報を「https://notepad-plus-plus.org/update/getDownloadUrl.php」に報告し、「gup.xml」ファイルからアップデートのURLを取得する仕組みが悪用されました。このURL内のプロパティを変更することで、ダウンロード先を任意のリダイレクト先に変更することが可能だったのです。大規模なスケールでこの種の攻撃を行うには、多くのリソースが必要とされます。
ユーザーへの緊急推奨事項
Notepad++の開発者およびセキュリティ専門家は、全てのユーザーに対し、自身のシステムが侵害されていないか確認し、対策を講じるよう強く推奨しています。
- バージョン確認と手動インストール:全てのユーザーは、公式サイト「notepad-plus-plus.org」から手動でインストールされたバージョン8.9.1以降を使用していることを確認してください。
- 不審な活動の監視:デバイスが標的とされた可能性があるユーザーは、Rapid 7のブログ投稿で提供されている侵害の痕跡 (Indicators of Compromise) を参照し、確認作業を行うべきです。
- 組織向けの対策:大規模な組織でNotepad++を管理し、アップデートを行っている場合は、「notepad-plus-plus.org」へのアクセスをブロックするか、「gup.exe」プロセスからのインターネットアクセスをブロックすることを検討してください。
- セキュリティ意識の向上:検索エンジンにはトロイの木馬化されたNotepad++の広告が氾濫しており、多くのユーザーが意図せず悪意のあるバージョンを実行している可能性があるため、ダウンロード元には十分注意が必要です。
オープンソースプロジェクトの課題
Notepad++は、公式のWindowsメモ帳にはない機能を提供することで、長年にわたり多くの忠実なユーザーを獲得してきました。しかし、他の多くのオープンソースプロジェクトと同様に、Notepad++への資金提供は、インターネットが依存しているその規模に比べて非常に限られています。今回の6ヶ月にわたる侵害を可能にした脆弱性は、より多くのリソースがあれば容易に発見され、修正された可能性があり、オープンソースプロジェクトの持続可能性とセキュリティ強化の重要性を浮き彫りにしています。