Notepad++の更新サービスが、国家関与の標的型攻撃で乗っ取られる

プロジェクト作者によると、国家支援のサイバー犯罪者が2025年にNotepad++の更新サービスを侵害した。

この認める発言は、テキストエディタのバージョン8.8.9が12月9日にリリースされた後に出たものだ。この「強化」版では、更新プロセス中にダウンロードしたインストーラの署名と証明書を検証していた。12月27日には、自己署名証明書の使用を取りやめたバージョン8.9がリリースされた。プロジェクトは次のように述べた。「Notepad++のリリースバイナリの署名には、GlobalSignが発行した正規の証明書のみが使用されるようになりました。以前に自己署名ルート証明書をインストールしたユーザーは、それを削除することを強く推奨します。」

本日、「Notepad++ Hijacked by State-Sponsored Hackers（国家支援ハッカーによるNotepad++の乗っ取り）」と題した投稿で、Notepad++はアプリが悪党の被害に遭ったことを確認した。

悪用に用いられた仕組みの正確な詳細は引き続き調査中だが、問題は侵害されたホスティングサーバーと、エディタの旧バージョンにおける不十分な更新検証コントロールに起因する。Notepad++によると：

「特定の標的ユーザーからのトラフィックが選別され、攻撃者が制御するサーバーへリダイレクトされ、悪意ある更新マニフェストが配信された。」

Notepad++によれば、このインシデントは6月に始まった。共有ホスティングサービスは9月2日まで侵害されており、アクセスを失った後も攻撃者は12月2日まで内部サービスの認証情報を保持していた。調査では攻撃は11月10日に終了したことが示されているが、Notepad++の作者は次のように書いている。「攻撃者のすべてのアクセスが決定的に遮断された2025年12月2日まで、全体の侵害期間は6月から12月2日までに及んだと見積もっています。」

セキュリティ研究者のKevin Beaumontは12月2日に何かが起きていると指摘した。「Notepad++がインストールされた端末でセキュリティインシデントが発生し、Notepad++のプロセスが初期侵入を生み出したように見えるという話を、すでに3つの組織から聞いています。これらは、キーボード操作を伴う脅威アクターにつながりました。」

Beaumontは、更新メカニズムには改ざんの余地があり、ダウンロードのリダイレクトが起こり得ると述べた。ただし彼は、「活動は非常に標的型に見える」とも指摘しており、彼が話を聞いた限られた被害者は東アジアに関心を持っていたという。

Notepad++の作者は、複数の独立したセキュリティ研究者が、脅威アクターは中国の国家支援グループである可能性が高いと考えていると書いており、「それはキャンペーン中に観測された極めて選別的な標的化を説明するだろう」としている。

中国のサイバースパイは、コンピュータおよびネットワーク侵入に関して長い実績がある。12月には、CISAが警告し、同国の人物が重要な米国ネットワークに侵入し、場合によっては何年にもわたってアクセスを維持していたとした。

BeaumontはNotepad++を称賛し、Mastodonで次のように述べた。「Notepad++の開発者は、この問題を深刻に受け止めて対処する上で素晴らしい仕事をした。」

Notepad++については、謝罪が繰り返し述べられた。プロジェクトのウェブサイトはその後、「大幅に強固な運用」を備えた新しいホスティングプロバイダへ移行し、更新プロセスも強化された。「証明書と署名の検証は、約1か月後に予定されている次期v8.9.2から強制されます。」

「これらの変更と強化により、状況は完全に解決したと考えています。うまくいくことを願っています。」

Notepad++の作者は連絡を取り、「悪意あるダウンロードは通常、update.exe、updater.exe、またはAutoUpgrade.exeという名前のファイルでした。これらはいずれもNotepad++の配布物の一部ではありません」と伝えてきた。

しかし、感染の兆候を見つけるためのツールを期待している人は失望するかもしれない。「残念ながら、以前のホスティングプロバイダから提供された400GBのサーバーログを1週間かけて分析した結果、IRチームは侵入の兆候を特定しましたが、IoC（侵害指標）は見つかりませんでした。」

次のステップとしては、最新バージョンをダウンロードして手動でインストールするという推奨が引き続き示されている。「これにより、Notepad++とWinGUp（アップデータ）の両方が、セキュリティ強化版に更新されます。」 ®