概要:アップデート機能の長期的なハイジャック
Windowsユーザーに広く利用されている人気テキストエディター「Notepad++」のアップデート機能が、約半年間にわたり中国政府系とみられるハッカー集団によって乗っ取られていたことが明らかになりました。
開発者からの公式発表によると、この攻撃は2025年6月に開始され、特定のユーザーのアップデートリクエストを悪意のあるサーバーに選択的にリダイレクトし、改ざんされたアップデートマニフェストを提供することで実行されました。
攻撃の手口と標的
ハッカーは、Notepad++の古いバージョンに存在したアップデート検証制御のセキュリティギャップを悪用しました。この攻撃は、アップデート機能を提供していたホスティングプロバイダーのサーバーが侵害されたことによって可能になったとされています。
外部のセキュリティ専門家による調査では、攻撃が特定のターゲットに絞られていたことが判明しています。複数の独立したセキュリティ研究者は、この脅威アクターが中国政府系のグループである可能性が高いと指摘しており、攻撃の高度な選択的ターゲティングの理由を説明しています。
攻撃の経緯とNotepad++の対応
攻撃は2025年6月に始まりましたが、ホスティングプロバイダーが最終的に侵害を検知し、攻撃者のアクセスを遮断したのは2025年12月2日でした。攻撃者は、9月にサーバーのカーネルとファームウェアが更新された際に一時的にアクセスを失いましたが、以前に入手した内部サービス資格情報を使用して足場を固め直していました。
事件を受けて、Notepad++は全てのクライアントをより強力なセキュリティを持つ新しいホスティングプロバイダーへ移行しました。また、攻撃者によって盗まれた可能性のある全ての資格情報をローテーションし、悪用された脆弱性を修正。悪意のある活動が停止したことを確認するためにログを徹底的に分析しました。
セキュリティ強化とユーザーへの推奨事項
Notepad++はセキュリティ対策を大幅に強化しています。バージョン8.8.9以降では、更新ツール「WinGUp」がインストーラーの証明書と署名を検証するようになり、アップデートXMLも暗号化署名されるようになりました。さらに、バージョン8.9.2(約1ヶ月後にリリース予定)では、証明書署名検証の強制を計画しています。
Notepad++ユーザーは、自身のセキュリティを強化するために以下の対策を講じることが推奨されています。
- SSH、FTP/SFTP、およびMySQLの資格情報を変更する。
- WordPressの管理者アカウントを確認し、パスワードをリセットし、不要なユーザーを削除する。
- WordPressのコア、プラグイン、およびテーマを更新し、可能であれば自動更新を有効にする。