Notepad++へのサイバー攻撃発覚
人気オープンソーステキストエディタ「Notepad++」の開発元は、2025年6月から12月にかけて数ヶ月にわたり、中国政府系とされるハッカー集団によってソフトウェアアップデートが乗っ取られていたことを公表しました。開発者のドン・ホー氏が月曜日に公開したブログ投稿で明らかにしたもので、複数のセキュリティ専門家による分析から、マルウェアのペイロードと攻撃パターンに基づき、中国政府関連のハッカーによって実行された可能性が高いと指摘されています。
ホー氏は、「今回のキャンペーンで確認された非常に選択的なターゲティングを説明できる」と述べ、今回の攻撃は「東アジアに利害関係を持つ」少数の組織を標的としたものだったとしています。この攻撃により、ハッカーは不正なバージョンのNotepad++を実行していた被害者のコンピューターに対し、「実質的な」アクセスを獲得することに成功しました。
攻撃の詳細と開発元の対応
ホー氏によると、ハッカーがサーバーに侵入した「正確な技術的メカニズム」は現在も調査中ですが、攻撃の経緯についてはいくつかの詳細が提供されています。
ブログでは、Notepad++のウェブサイトが共有ホスティングサーバーでホストされていたことが明かされています。攻撃者は、Notepad++のウェブドメインを「具体的に標的」とし、ソフトウェアのバグを悪用して、一部のユーザーをハッカーが運営する悪意のあるサーバーにリダイレクトしました。これにより、ソフトウェアアップデートを要求した特定のユーザーに対し、不正なアップデートを配信することが可能になっていました。
このバグは2025年11月に修正され、ハッカーのアクセスは12月初旬に終了しました。ホー氏は、「悪意のあるアクターが、修正済みの脆弱性を再悪用しようとしたことを示すログがあるが、修正が実装された後はその試みは成功しなかった」と述べています。
ホー氏は今回の事件について謝罪し、ユーザーに対し、バグの修正を含む最新バージョンのソフトウェアをダウンロードするよう強く推奨しています。
過去の類似事例とサプライチェーン攻撃の教訓
Notepad++ユーザーを標的とした今回のサイバー攻撃は、2019年から2020年にかけてソーラーウィンズ社の顧客に影響を与えたサイバー攻撃を想起させます。ソーラーウィンズの事例では、ロシア政府系ハッカーが同社のサーバーに侵入し、ソフトウェアにバックドアを秘密裏に仕掛けました。これにより、アップデートが展開された後、ロシアのスパイが米国の複数の政府機関を含む顧客ネットワーク上のデータにアクセスすることが可能になりました。
今回のNotepad++の事件も、信頼されたソフトウェアのアップデート経路を悪用するサプライチェーン攻撃の脅威が依然として現実のものであることを改めて浮き彫りにしています。