TokyoBlackHatNews

esecurityplanet.com 5分で読了

Notepad++の更新サーバーが標的型サプライチェーン攻撃で乗っ取られる

Notepad++プロジェクトは、攻撃者が標的型キャンペーンの中で同プロジェクトのソフトウェア更新インフラを密かに乗っ取り、数カ月にわたり一部のユーザーに対して悪意のあるバイナリを配信できる状態にしていたことを確認した。 

エディターのコード上の欠陥を悪用したのではなく、攻撃者はバックエンドのホスティングシステムを侵害し、信頼された更新チャネルを秘匿された配布手段へと変えていた。

このインフラレベルの攻撃により、「…notepad-plus-plus.org宛ての更新トラフィックを悪意ある行為者が傍受し、リダイレクトできるようになった」と、Notepad++は勧告の中で述べた

Notepad++更新攻撃の内幕

Notepad++プロジェクトおよび独立したフォレンジック分析によると、この攻撃は2025年6月から12月にかけての6カ月間にわたり展開され、主にWinGUpアップデーターの旧バージョンを実行しているユーザーに影響した。 

アプリケーション自体の脆弱性を悪用するのではなく、攻撃者は以前notepad-plus-plus[.]orgで使用されていた共有ホスティング基盤を侵害した。

調査担当者は、攻撃者がホスティングサーバーへのアクセスを獲得し、Notepad++の更新サービス宛てのトラフィックを傍受・改ざんできるようにしていたと判断した。 

主な標的は、WinGUpがインストーラーのダウンロード先を取得するために依存しているgetDownloadUrl.phpスクリプトだった。 

このエンドポイントを制御することで、攻撃者は特定の更新リクエストを選別して攻撃者管理下のサーバーへリダイレクトできた。

これらの悪意あるサーバーにはトロイの木馬化されたインストーラーが置かれ、正規の更新の代わりに配信された。 

攻撃が成功したのは、旧バージョンのWinGUpがダウンロードしたバイナリに対してデジタル署名の検証と証明書の一致確認の両方を厳格に強制しておらず、改ざんされたインストーラーが明確な警告なしに実行され得たためだ。

ホスティングプロバイダーは後に、攻撃者のアクセスに2つの異なる段階があったことを特定した。サーバーの直接的な制御は2025年9月2日まで継続し、予定されていたカーネルおよびファームウェア更新によってアクセスが妨げられた。 

それにもかかわらず、攻撃者は盗まれた内部サービスの認証情報を悪用して永続性を維持し、12月上旬まで更新トラフィックのリダイレクトを継続できた。調査担当者は、積極的な悪用は2025年11月上旬から中旬にかけて停止した可能性が高いと推定した。

研究者らは、これは広範なサプライチェーン汚染イベントではないと強調した。むしろ、このキャンペーンは意図的に低ノイズで高度に選別的であり、インストールベース全体に無差別にマルウェアを押し付けるのではなく、特定のユーザーを標的にしていた。 

この運用上の抑制に、長期的な永続性とインフラ制御が組み合わさったことから、調査担当者はこの活動を国家支援型の脅威アクターと整合的だと評価した。

組織がサプライチェーンリスクを低減する方法

Notepad++の更新の侵害は、インフラや検証コントロールが破綻すると、信頼されたソフトウェア配布メカニズムが高リスクな攻撃対象領域になり得ることを浮き彫りにしている。 

プロジェクト側はより強固な安全策を実装したものの、組織はこの事案を単発の出来事ではなく、より広いサプライチェーン上の教訓として捉えるべきだ。 

露出を減らすには、パッチ適用にとどまらず、更新ライフサイクル全体にわたる可視性、統制、備えを含む多層的な防御アプローチが必要となる。 

  • パッチ適用として、すべてのNotepad++インストールをバージョン8.8.9以降に更新し、更新時に厳格なデジタル署名および証明書検証を確実に行う。
  • 外部サーバーからのアップデーターによる直接ダウンロードを許可するのではなく、内部リポジトリやエンドポイント管理ツールを用いてソフトウェア配布を集中管理する。
  • 監視として、異常なインストーラー実行、想定外のダウンロードドメイン、またはアップデーターの挙動の異常について、エンドポイントおよびネットワークのテレメトリを監視する。
  • アプリケーションの許可リストを強制し、開発者ツールの信頼範囲を制限して、信頼された更新チャネルが悪用された場合の影響範囲を抑える。
  • 送信方向のネットワーク制御と証明書検証を適用し、未承認サーバーへリダイレクトされた更新トラフィックを検知または遮断する。
  • 既知の正規インストーラーのハッシュを追跡・検証し、エンドポイント上で実行された改ざん済みまたは想定外のバイナリを特定する。
  • 検知、封じ込め、復旧のワークフローを含め、インシデント対応計画サプライチェーンおよび更新メカニズム侵害のシナリオ向けにテストし、改善する。

総合すると、これらの手順は、侵害された更新チャネルの影響を限定し、影響範囲を縮小し、サプライチェーンリスクに対する全体的なレジリエンスを強化するのに役立つ。

サプライチェーンリスクとしてのソフトウェア更新

Notepad++の事案は、ソフトウェア更新メカニズムが他の重要システムと同等の注意を払うに値することを示している。 

アプリケーションコードが安全であっても、ホスティング、検証、配布の隙が、信頼された更新チャネルを通じてリスクを持ち込み得る。 

更新配信を取り巻く統制を強化し、侵害シナリオに備えることで、組織は影響を限定し、将来のサプライチェーン問題への露出を減らすことができる。 

このようなインシデントは、ソフトウェアサプライチェーンセキュリティが、サードパーティ製ツールや自動更新チャネルに依存する組織にとって中核的な懸念事項となっている理由を示している。

翻訳元: https://www.esecurityplanet.com/threats/notepad-update-servers-hijacked-in-targeted-supply-chain-attack/

ソース: esecurityplanet.com
#Notepad++ #WinGUp #アップデートサーバー乗っ取り #インシデントレスポンス #サプライチェーン攻撃 #ソフトウェアアップデート改ざん #デジタル署名検証 #トロイの木馬化インストーラー #国家支援型攻撃者 #証明書検証

関連記事

Claude Code GitHub Actionsの脆弱性がサプライチェーン攻撃リスクを招いた問題

GoogleがAndroidのゼロデイ脆弱性にパッチを適用——実際の悪用が確認

偽のClaude Codeインストーラーが認証情報を盗むマルウェアを配布