脅威アクターが悪質なバックドアでアップデートを侵害した後、強化が必要だった。
最近侵害された人気のあるオープンソーステキストエディタNotepad++のアップデート機構は強化され、現在では「事実上攻撃不可能」になっていると、このアプリケーションの著者は述べています。
Don Hoは、Notepad++バージョン8.9.2のリリース後、この週この主張を述べました。このバージョンには二重ロック検証が含まれており、この時点以降、このツールからのすべてのダウンロードが本物であることを確認します。最新バージョンは、アップデートサーバーから返された署名付きXMLを検証するだけでなく、12月にリリースされたバージョン8.8.9の最初の強化ステップも実装しています。それはGitHubからダウンロードされた署名されたインストーラーの真正性を検証します。
アプリケーションのオートアップデーターも強化されました。
これらのアクションは完全ではないとHoはブログで認めています。なぜなら、UIインストール中にオートアップデーターを除外することや、アップデーターを使用しないよう指定する特定のコマンドでインストーラーを展開することが可能だからです。
本日CSOonlineへのメールで、Hoは絶対に破られないと宣言できるシステムは存在しないと述べましたが、「新しい設計は大幅にハードルを上げています。」
攻撃者は現在、ホスティングインフラストラクチャと署名キーの両方を侵害する必要があります。彼は説明しました。アップデーターは、マニフェストとインストーラーの両方を検証し、それぞれ独立した暗号署名を持ちます。不一致、署名の欠落、または証明書の異常が発生した場合、アップデートは自動的に中止されます。
「このレイヤード検証は、将来のインフラストラクチャレベルの侵害に直面しても、アップデートチェーンを堅牢にします。」と彼は結論づけました。
別のサプライチェーン攻撃
侵害が長い間検出されなかった理由の1つは、攻撃者によって特に標的にされたのはダウンロード者のごく一部だけ(0.1%を大きく下回る)であったこと、そして攻撃者が非常に慎重であったことだとHoは述べています。「彼らの目的は長期的なスパイ活動だった」と彼は指摘し、「可能な限り長く検出されないままでいるために、静かかつ意図的に行動していました。」
アプリケーションのアップデート機構を侵害することは、脅威アクターが、知らないうちにソフトウェアのハッキングされたバージョンを使用する数十、数百、または数千の組織に浸透するための古典的な方法です。最も悪名高い例の1つは、2019年/2020年のSolarwinds Orionネットワーク監視スイートのアップデートインフラストラクチャの侵害です。別の例は、ウクライナの税務ソフトウェアがハッキングされた後、世界中に広がった2017年のNotPetya攻撃です。
Notepad++の問題は、Notepad++をホストするITインフラストラクチャが2025年6月に侵害され、アプリケーションに悪質なバックドアがインストールされたことの発見で始まりました。高度に標的化された攻撃では、特定のユーザーからのトラフィックは、悪意のあるアップデートによって攻撃者が制御するサーバーに選択的にリダイレクトされました。Rapid7の研究者は、ロータスブロッサムというニックネームの中国を拠点とするグループが攻撃の背後にいると考えています。
現在の元ホスティングプロバイダーは、共有ホスティングサーバーが2025年6月から9月にかけて侵害されたと考えています。しかし、サーバーアクセスを失った後でさえ、攻撃者は2025年12月2日までの間、内部サービスへのクレデンシャルを保持し、Notepad++アップデートトラフィックの継続的なリダイレクトを可能にしました。Notepad++バージョン8.8.9のリリースとセキュリティ強化により、すべての攻撃者アクセスは終了しました。バージョン8.9.1はさらに多くのセキュリティ強化を備えており、今週のバージョン8.9.2は二重ロックプロセスを実装しました。
教訓
「開発者は、忍耐強く、高度な技術を持ち、選別的な敵を想定する必要があります。」とHoは述べました。インフラストラクチャはあなたの攻撃面の一部です。彼は指摘しました。コードが安全であっても、ホスティング、DNS、またはコンテンツ配信ネットワーク(CDN)の弱点がすべてを損なう可能性があります。「継続的な監視と厳格なクレデンシャル管理が不可欠です。」と彼は述べ、アプリケーション開発者は部分的な侵害の可能性を想定し、アプリケーションと配信・アップデート機構を障害に備えて設計する必要があります。
そして侵害が発生した場合、彼は付け加えました、迅速な開示、詳細な技術説明、迅速な修正は、ユーザーがスコープを理解し、プロジェクトへの信頼を維持するのに役立ちます。
Jeff PollardはForrester ResearchのCSO関連研究をリードしており、修正は「大幅に削減」されると述べています。この特定の障害モードが再発するリスク。しかし、彼は付け加えました、単一の変更がすべてのサプライチェーンリスクを「解決」するわけではありません。攻撃者はビルドパイプラインや署名キーなどの他のボトルネックにシフトする可能性があります。彼は指摘しました。「重要なポイントは、Notepad++が悪用されたギャップを塞ぎ、攻撃者のコストを上げたということです。」と彼は述べました。
Notepad++のような小さなユーティリティは通常、調達、インベントリ、および第三者リスク管理の対象外に位置しています。彼は述べました。だから技術ユーザー間で普遍的であり、敵にとって価値のあるターゲットです。
「資産管理とソフトウェアインベントリは企業にとって永遠の課題ですが、このイベントは、環境内のすべてのソフトウェア、大きかろうと小さかろうと、理解することがいかに重要であるかを示しています。」と彼は述べました。
Douglas McKeeはRapid7の脆弱性インテリジェンス上級ディレクターであり、Notepad++サプライチェーン事件は、脅威アクターがソフトウェア信頼と永続性についてどのように考えるかについての、より広い進化を強調していると述べています。Notepad++配信機構の更新とバージョン8.9.2のリリースは、強化された二重ロックアップデートセキュリティを備えており、このキャンペーンで悪用された特定の脆弱性を塞ぐのに役立ちますが、それ自体は現代のサプライチェーンリスクの体系的な問題を解決しません。
「この事件が明らかにしていること、そして組織が理解する必要があることは、サプライチェーンセキュリティはソースコードとビルドシステムに限定されるべきではないということです。」と彼は述べました。「攻撃者は、プロジェクトの直接的な制御外のホスティングインフラストラクチャとアップデート配信フローを標的にしました。署名と証明書検証を強化し、アップデートインフラストラクチャを攻撃面の一部として扱うことによってのみ、防御側は有意義にエクスポージャーを削減できます。」
