概要
人気テキストエディタのNotepad++が、国家支援型とみられる攻撃者による大規模なサプライチェーン攻撃の被害に遭っていたことが明らかになりました。この攻撃は、約6か月にわたりNotepad++のアップデートインフラを侵害し、特定ユーザーを標的に悪意のあるインストーラーを配布したと報じられています。
セキュリティ専門家は、標的の選定における高い選択性と技術的な洗練度から、この攻撃を中国国家支援型のグループによるものと分析しています。
攻撃のタイムラインと詳細
侵害は2025年6月に始まりました。攻撃者は、Notepad++のアップデート管理システムをホストしている共有ホスティングサーバーへのアクセスを不正に取得しました。
ホスティングプロバイダーの調査によると、攻撃者は同年9月2日に予定されていたカーネルおよびファームウェアのアップデートによって直接的な接続を断たれるまで、持続的なアクセスを維持していました。しかし、盗まれた認証情報を使用して内部サービスへのアクセスを維持し、12月2日までアップデートトラフィックを傍受および操作できる状態を継続していました。
影響と巧妙な手口
攻撃者はマルウェアを無差別に展開するのではなく、特定のユーザーからのアップデートリクエストを選択的に悪意のあるインストーラーをホストするサーバーにリダイレクトするという、精密なターゲティング手法を採用しました。この洗練されたアプローチは、国家レベルの能力を示すものであり、Notepad++の古いバージョンにおけるアップデート検証の脆弱性に関する知識があったことが示唆されます。
この攻撃は、Notepad++のアップデートメカニズムにおける不十分な暗号検証を悪用したものです。ホスティングプロバイダーのログからは、攻撃者がNotepad++ドメインを具体的に検索していたことが判明しており、これはアプリケーションのセキュリティ体制に関する事前の偵察があったことを示しています。彼らはNotepad++のコードの脆弱性を悪用するのではなく、インフラレベルの侵害を利用して「getDownloadUrl.php」エンドポイントを操作し、悪意のあるダウンロードURLを返していました。
特筆すべきは、プロバイダーが侵害されたサーバー上で二次的な被害の証拠を発見しなかったことであり、Notepad++がこの作戦の唯一の標的であったことが確認されています。
対策と今後の展望
Notepad++は、強化されたセキュリティアーキテクチャを持つ新しいホスティングプロバイダーへの移行を決定的に実施しました。
アップデートシステムには以下の重要な改善が加えられました:
- WinGupアップデーターはv8.8.9で強化され、証明書とインストーラーの両方の署名を検証するようになりました。
- アップデートサーバーからのすべてのXML応答は、XMLDSig標準を使用してデジタル署名されるようになりました。
- 強制的な検証は、1か月以内にリリース予定のv8.9.2で導入されます。
ホスティングプロバイダーも包括的な強化策を実施し、すべてのサービスにおける認証情報のローテーションと既知の脆弱性のパッチ適用を行いました。
この事件は、ソフトウェア配布エコシステムに対するサプライチェーン攻撃の根強い脅威を浮き彫りにし、アップデートメカニズムにおける暗号検証の極めて重要な重要性を強調しています。