偽の NotePad++ ページ
Notepad++ は、WinGUp(GUP.exe)アップデート機構の脆弱性に対処するため、バージョン 8.8.9 をリリースしました。研究者やユーザーからは、アップデーターが正規のインストーラーを取得する代わりに、一時ディレクトリから外部の実行ファイルをダウンロードして実行してしまう事例が報告されていました。その結果、影響を受けたシステム上には想定外のファイル %Temp%\AutoUpdater.exe が出現し、システム偵察を行い、収集したデータの持ち出しを試みていました。
最初の警告サインは、Notepad++ コミュニティフォーラムのスレッドで表面化しました。あるユーザーによると、不正な AutoUpdater.exe は netstat -ano、systeminfo、tasklist、whoami といったコマンドを実行し、その出力を a.txt という名前のファイルにリダイレクトしたうえで、curl.exe を使って temp[.]sh サービスにアップロードしていました。WinGUp は外部の curl.exe バイナリではなく libcurl ライブラリに依存しており、そもそもこのようなデータ収集を行う設計ではないため、フォーラム参加者は、改ざんされた Notepad++ ビルドがインストールされているか、アップデート通信が傍受・改変されている可能性を疑いました。
通信傍受のシナリオは技術的にもっともらしく見えます。アップデートを確認する際、Notepad++ は https://notepad-plus-plus.org/update/getDownloadUrl.php?version= にリクエストを送り、サーバーはインストーラーの URL を指定するフィールドを含む XML ファイルで応答します。もし攻撃者がこの配信チェーンに介入し、そのフィールド内の URL を改ざんできれば、アップデーターは本来のインストーラーではなく、指示された任意のファイルをダウンロードしてしまいます。
こうした状況を受けて、セキュリティ専門家の Kevin Beaumont は、少なくとも 3 つの組織で、インシデントがインストール済みの Notepad++ に関連していることを報告しました。彼によれば、これらの環境ではすでにネットワーク内部で手動の偵察行為(いわゆる「hands-on keyboard」アクティビティ)の兆候が見られ、影響を受けた組織はいずれも東アジアとビジネス上のつながりを持っていたことから、無差別なノイズではなく、標的型の作戦であることが示唆されます。同時に Beaumont は、よりありふれた説明として、悪意ある広告や偽のダウンロードページを通じてトロイの木馬化されたビルドが配布される可能性にも言及しており、これは広く利用されているユーティリティが繰り返し直面しているリスクです。
これに対応し、Notepad++ 開発者の Don Ho は、まず 11 月 18 日にバージョン 8.8.8 をリリースし、GitHub 上でホストされているダウンロードのみにアップデート元を制限することで、露出を低減しました。続く 12 月 9 日リリースのバージョン 8.8.9 では、より強力な保護策が導入されました。WinGUp はダウンロードしたインストーラーのデジタル署名と証明書の両方を検証し、検証に失敗した場合はアップデート処理を中止します。プロジェクトチームは、通信差し替えの根本原因に関する調査は現在も継続中であると強調しています。
ユーザーには、バージョン 8.8.9 へのアップグレードと、インストーラーを公式ソースからのみ入手することが推奨されています。またアドバイザリでは、バージョン 8.8.7 以降、すべての公式バイナリおよびインストーラーが有効な証明書で署名されていること、そしてレガシー用途のために以前カスタムルート証明書をインストールしていた場合は、攻撃対象領域を不必要に拡大しないよう、それを削除すべきであることが改めて強調されています。
