TokyoBlackHatNews

hackread.com 4分で読了

ホスティングプロバイダー侵害後、Notepad++のアップデートがマルウェアを配布

長年にわたり、Notepad++は人々が深く考えずにインストールする類のツールの一つでした。軽量で無料、そしてIT管理者、開発者、学生、セキュリティ研究者から信頼されてきました。その信頼こそが、今回のアップデートシステムに関する最新の開示をこれほど深刻なものにしています。

v8.8.9のリリースと同時に公開された詳細な声明の中で、Notepad++のメンテナーであるDon Ho氏は本日、同ソフトウェアのアップデート基盤が以前のホスティングプロバイダー経由で侵害されていたことを確認しました。

この侵害は、Notepad++のコード自体の脆弱性によって起きたものではありません。攻撃者がホスティングレベルで制御を奪い、アップデート通信を傍受して、特定のユーザーを攻撃者が管理するサーバーへリダイレクトし、悪意あるバイナリを配布したというものです。

Notepad++とホスティングプロバイダーによる調査結果を総合すると、最初の侵害は2025年6月に発生し、少なくとも11月までさまざまな形で継続し、残存アクセスは2025年12月2日まで続いた可能性があります。

ホスティング会社も、アップデート要求の処理を担う共有ホスティングサーバーが侵害の影響を受けたことを認めています。さらに悪いことに、9月上旬に予定されていたカーネルおよびファームウェアの更新により攻撃者が直接アクセスを失った後も、内部サービスの認証情報を保持していました。そのアクセスにより、アップデート応答の操作が継続可能となり、実質的にアップデーターがユーザーをどこへダウンロードに誘導するかを変更できる状態でした。

注目すべき点として、プロバイダーと外部専門家の双方が確認したログから、攻撃者がほぼ専らnotepad-plus-plus.orgドメインに焦点を当てていたことが明らかになりました。同じ基盤上でホストされていた他の顧客は影響を受けた形跡がなく、機会的な悪用ではなく意図的な標的化を示唆しています。

現時点では、被害の真の規模は不明のままです。何人のユーザーがリダイレクトされたのか、どのマルウェアファミリーが配布されたのかについて、公的な推計はありません。Notepad++が個人のシステム、大学、企業環境にまで広く浸透していることを踏まえると、限定的な標的化であっても深刻な二次的影響を及ぼし得ます。

良いニュースとしては、Notepad++のWebサイトとアップデートサービスが新しいホスティングプロバイダーへ移行され、アップデートの検証方法にも大きな変更が加えられたことです。v8.8.9, WinGUp以降、インストーラーの署名と証明書の両方を検証するようになりました。アップデート応答もXMLデジタル署名で署名されており、v8.9.2では厳格な強制が予定されています。

調査に関与したセキュリティ研究者は、このキャンペーンに中国の国家支援による作戦の兆候が見られると考えています。リダイレクトの選別性に加え、忍耐強さと精密さを伴う手口は、犯罪的なマルウェア運用というより、APT(高度持続的脅威)グループに通常関連付けられる活動と一致します。

専門家の見解

このインシデントについて、Closed Door SecurityのCOOであるCassius Edison氏は、信頼されたソフトウェア配布チャネルを巡る継続的なリスクを浮き彫りにした攻撃だと述べました。

「この攻撃は、数百万台のデバイスに影響し得る、もう一つの深刻なサプライチェーン攻撃です」とEdison氏は語りました。「Notepad++はITおよび開発環境に遍在しており、そのレベルの信頼が、この種の侵害を極めて危険なものにします。侵害はソフトウェア自体に起因したものではありませんが、攻撃者は数か月にわたりアップデート基盤の内部に居座り、ユーザーが送られる先を操作できました。」

Edison氏はさらに、活動が標的型に見えるとしても、目に見える問題がなかったからといって影響を受けていないと決めつけるべきではないと付け加えました。システムを最新の状態に保ち、異常な挙動を監視することは引き続き不可欠であり、とりわけ大規模ネットワークに接続されたマシンでは重要です。

Notepad++のメンテナーはユーザーに対して公に謝罪し、現在このインシデントは完全に封じ込められていると述べています。基盤変更が完了し、より強力なクライアント側検証が展開されつつあることで、同様の乗っ取りを試みるリスクは大幅に低減しました。

それでも今回の出来事は、よくメンテナンスされたオープンソースツールであっても、第三者インフラが侵害されれば攻撃ベクターになり得るという明確な警告となります。信頼の上に成り立つソフトウェア・エコシステムにおいて、アップデートチャネルは依然として攻撃者にとって最も価値の高い標的の一つです。

翻訳元: https://hackread.com/notepad-updates-malware-hosting-breach/

ソース: hackread.com
#APT(高度持続的脅威) #Notepad++ #オープンソースセキュリティ #コード署名・証明書検証 #サプライチェーン攻撃 #ソフトウェアアップデート改ざん #ドメイン乗っ取り #ホスティングプロバイダ侵害 #マルウェア配布 #中国系国家支援疑惑

関連記事

次のサイバーセキュリティの課題はAIエージェント認証である可能性がある

ハッカーがフィッシングメールでGlobal Groupランサムウェアをオフライン配信

サイバー攻撃が欧州委員会職員のモバイルシステムを直撃