人気エディタNotepad++の更新システムが国家支援型攻撃の標的に

人気テキストエディタ「Notepad++」の更新メカニズムが、国家支援型の攻撃者によって悪用されていたことが判明しました。この攻撃により、特定のユーザーへの更新トラフィックが悪意あるサーバーにリダイレクトされ、マルウェアが配信されたと報告されています。

攻撃の詳細：ホスティングプロバイダーのインフラ侵害

Notepad++の開発者であるDon Ho氏が明らかにしたところによると、この攻撃はNotepad++のコード自体の脆弱性によるものではなく、ホスティングプロバイダーレベルでのインフラ侵害が原因でした。攻撃者は、

notepad-plus-plus.org

宛の更新トラフィックを傍受し、悪意あるサーバーへリダイレクトすることで、更新プログラムに見せかけたマルウェアを配布していたとのことです。

過去の脆弱性と攻撃の経緯

今回の事態に先立ち、Notepad++はわずか1ヶ月前にバージョン8.8.9をリリースし、アップデーター「WinGUp」からのトラフィックが時折悪意あるドメインにリダイレクトされる問題に対処していました。この問題は、アップデーターがダウンロードファイルの整合性と信頼性を検証する方法に起因しており、攻撃者がネットワークトラフィックを傍受することで、異なるバイナリをダウンロードさせることが可能でした。今回のリダイレクトは高度に標的を絞ったもので、特定のユーザーからのトラフィックのみが悪意あるサーバーに誘導され、悪質なコンポーネントをフェッチさせられたと見られています。

独立系セキュリティ研究者のケビン・ボーモント氏の調査では、中国の脅威アクターがこの脆弱性を悪用し、標的となったネットワークを乗っ取り、マルウェアのダウンロードを誘発していたと指摘しています。攻撃は2025年6月には始まっていたとされており、発覚までに6ヶ月以上もの間継続していました。

Notepad++の対応とサプライチェーン攻撃の教訓

このセキュリティインシデントを受け、Notepad++のウェブサイトは新しいホスティングプロバイダーへと移行しました。Ho氏の説明によると、旧ホスティングプロバイダーの共有サーバーは2025年9月2日まで侵害状態にあり、さらに攻撃者は2025年12月2日まで内部サービスへの認証情報を保持し続け、Notepad++の更新トラフィックを悪意あるサーバーへリダイレクトし続けていたとされています。

この事件は、ソフトウェアの信頼された更新メカニズムが悪用されるサプライチェーン攻撃の一例であり、ソフトウェアの安全性を確保するためには、開発元のコードだけでなく、ホスティング環境を含むインフラ全体に対する強固なセキュリティ対策が不可欠であることを改めて浮き彫りにしました。

元記事: https://thehackernews.com/2026/02/notepad-official-update-mechanism.html