概要
Lotus Blossomハッカー集団が、Notepad++の公式ホスティングインフラストラクチャを不正に操作し、更新プログラムの配信経路を通じてマルウェアを配布するサイバー攻撃を行いました。この攻撃は2025年6月から12月まで継続され、Notepad++のアップデートエンドポイントを提供していた共有ホスティングプロバイダーを不正に操作することで実行されました。
攻撃手法
攻撃者は、古いバージョンのWinGUpアップデーターが証明書と署名を厳密に検証しない弱点を利用しました。これにより、ターゲットとなったユーザーは不正なインストーラーを受け取り、マルウェア感染チェーンが始まりました。
攻撃の影響
このサイバー攻撃は、政府機関や通信業界だけでなく、クラウドホスティング、エネルギー、金融サービス、製造業、ソフトウェア開発など多岐にわたる分野で被害をもたらしました。
対策とアップデート
Notepad++プロジェクトは新しいセキュリティの高いホスティングプロバイダーに移行し、更新メカニズムを強化しました。バージョン8.8.9からは、ダウンロードされたインストーラーの証明書とデジタル署名を検証する機能が追加されました。
ユーザーへのアドバイス
- 公式サイトからバージョン8.9.1以上のアップデートを手動でインストールすること。
- 更新プログラムは信頼できるチャネルを通じてのみ取得すること。
- gup.exeの動作やupdate.exeの実行、またはキャンペーンに関連するインフラストラクチャへの異常な接続を確認すること。
結論
この攻撃は、国家後援の脅威グループがインフラストラクチャの破壊から長期的な低プロファイルアクセスに移行していることを示しています。ユーザーは常に最新のセキュリティ情報を確認し、適切な対策を講じることが重要です。