人気のあるオープンソースコードエディタNotepad++の更新プロセスが、数ヶ月にわたる巧妙なサプライチェーン攻撃の標的となっていたことが明らかになりました。この攻撃は、ソフトウェアのコード自体に脆弱性があったわけではなく、むしろホスティングプロバイダーの共有インフラが侵害されたことに起因するとされています。2026年2月2日に開発者から発表された勧告によれば、このインシデントはnotepad-plus-plus.org宛ての更新トラフィックが攻撃者によって制御されたサーバーにリダイレクトされたものでした。
この事件は、2025年12月にNotepad++ v8.8.9のリリースと同時に初めて公に開示されました。外部のセキュリティ専門家と元ホスティングプロバイダーが関与する継続的な調査により、攻撃は2025年6月に開始されたとみられています。この長期間にわたる侵害は、サプライチェーン攻撃がいかに高い影響力を持つかを示す典型的な事例であり、OWASP Top 10のようなフレームワークで常に上位にランクされる理由を浮き彫りにしています。
Talionの脅威インテリジェンスアナリストであるドナン・マロン氏は、「これは国家支援型のアクターがインフラレベルの侵害を実行する能力を提供した、憂慮すべき攻撃だ」と述べています。攻撃者はホスティングプロバイダーのレベルでアクセスを獲得し、Notepad++の更新エンドポイントへのトラフィックを傍受・操作することが可能になりました。この攻撃はNotepad++ドメインを標的とした高度に集中した活動であり、アナリストは中国の国家支援型グループが関与している可能性が高いと評価しています。
CybaVerseのペネトレーションテストマネージャーであるマイケル・ジェプソン氏は、「これはサプライチェーンの侵害であり、サプライチェーンのリスクがOWASP Top 10のようなフレームワークで最も影響の大きい問題の一つとしてランクされ続ける理由を強調している」とコメントしています。脆弱性はアプリケーションコードではなく、信頼チェーンのより上位に存在していました。この事件は、ソフトウェアの信頼された配布メカニズムが、インフラや検証制御が失敗した場合に、いかに高リスクな攻撃対象となり得るかを示しています。
攻撃の巧妙な手口:ホスティングインフラの乗っ取り
Notepad++の更新プロセスを狙った攻撃は、アプリケーションコードの脆弱性を直接悪用するのではなく、ホスティングインフラのセキュリティ上の弱点を突くことで実行されました。攻撃者は、notepad-plus-plus.orgが以前使用していた共有ホスティングインフラを侵害し、信頼された更新チャネルを密かなマルウェア配信メカニズムへと変貌させました。このインフラレベルの攻撃により、悪意のあるアクターはNotepad++の更新トラフィックを傍受し、リダイレクトすることが可能になったのです。
攻撃の核心は、WinGUpというNotepad++の組み込みアップデーターがインストーラーのダウンロード場所を取得するために利用する`getDownloadUrl.php`スクリプトにありました。攻撃者はこのエンドポイントを制御することで、特定の更新リクエストを攻撃者によって制御されたサーバーへ選択的にリダイレクトすることができました。これらの悪意のあるサーバーは、正規の更新プログラムの代わりにトロイの木馬化されたインストーラーをホストし、ユーザーに配信していました。
この攻撃が成功した背景には、WinGUpの古いバージョンに存在した不十分な更新検証制御がありました。これらのバージョンでは、ダウンロードされたバイナリのデジタル署名検証と証明書の一致が厳密に強制されていなかったため、改ざんされたインストーラーが明らかな警告なしに実行されることを許してしまいました。このセキュリティギャップが悪用され、攻撃者はユーザーのシステムに悪意のあるコードを送り込むことができたのです。
ホスティングプロバイダーのログレビューによると、攻撃者による直接的なサーバーアクセスは2025年9月2日に、予定されていたカーネルおよびファームウェアの更新後に途絶えました。しかし、内部サービスに関連する認証情報は2025年12月2日まで露出したままであり、サーバーアクセスが失われた後もトラフィックのリダイレクトを継続することが可能でした。この持続性は、攻撃者がいかに巧妙にインフラを掌握し、長期的なアクセスを維持しようとしたかを示しています。
「Chrysalis」の出現:中国系APTグループ「Lotus Blossom」の影
このNotepad++ホスティング侵害は、中国と関連する脅威アクター「Lotus Blossom」に中程度の確信度で帰属されています。Rapid7の新たな調査結果によれば、この国家支援型ハッキンググループは、オープンソースエディタのユーザーに「Chrysalis」と名付けられた、これまで文書化されていなかったバックドアを配信していました。Lotus Blossomは、別名Billbug、Bronze Elgin、Lotus Panda、Raspberry Typhoon、Thripとしても知られており、少なくとも2009年から活動している中国を拠点とするスパイグループです。
Rapid7の分析によると、「update.exe」というNullsoft Scriptable Install System (NSIS) インストーラーが、`95.179.213.0`からダウンロードされ、悪意のあるペイロードの配信に使用されました。このインストーラーには、DLLサイドローディング(中国のハッキンググループが広く使用する手法)のためにBitdefender Submission Wizardの名称を変更した`BluetoothService.exe`、暗号化されたシェルコード(Chrysalis)、そしてシェルコードを復号・実行するためにサイドロードされる悪意のあるDLLである`log.dll`が含まれていました。
Chrysalisは、システム情報を収集し、外部サーバー(`api.skycloudcenter[.]com`)と通信して感染ホスト上で追加コマンドを受信する、特注の機能豊富なインプラントです。このコマンド&コントロール(C2)サーバーは現在オフラインですが、難読化されたアーティファクトの詳細な調査により、インタラクティブシェルを生成し、プロセスを作成し、ファイル操作を実行し、ファイルのアップロード/ダウンロードを行い、自身をアンインストールする能力があることが判明しています。Rapid7は、「全体的に、このサンプルは時間の経過とともに積極的に開発されてきたもののように見える」と述べています。
さらに、Rapid7は、カスタムローダーを介してCobalt Strikeビーコンを取得するように設計された「conf.c」というファイルも特定しました。このローダーは、MetasploitブロックAPIシェルコードを埋め込んでいます。特に注目すべきは、「ConsoleApplication2.exe」というローダーが、Microsoft Warbirdという未公開の内部コード保護および難読化フレームワークを使用してシェルコードを実行していた点です。これは、ドイツのサイバーセキュリティ企業Cirosecが2024年9月に公開した概念実証(PoC)を攻撃者がコピーし、改変して利用していたことを示しています。
多角的な侵入経路:Kasperskyが暴く3つの感染チェーン
Kasperskyは、Notepad++のインシデントにおいて、3つの異なる感染チェーンを観測したと報告しています。これらのチェーンは、ベトナム、エルサルバドル、オーストラリアの約12台の個人マシン、フィリピンの政府機関、エルサルバドルの金融機関、ベトナムのITサービスプロバイダー組織を標的としていました。Kasperskyのセキュリティ研究者であるゲオルギー・クチェリン氏とアントン・カーギン氏は、「2025年7月から10月までの4ヶ月間、Notepad++を侵害した攻撃者は、悪意のある更新プログラムの配布に使用されるC2サーバーアドレス、インプラント配信に使用されるダウンローダー、および最終的なペイロードを常にローテーションさせていた」と述べています。
最初の感染チェーンは、2025年7月下旬から8月上旬にかけて観測されました。攻撃者は、`45.76.155[.]202/update/update.exe`でホストされた悪意のあるNotepad++更新プログラムを展開し、これは正規のNotepad++アップデータープロセスであるWinGUp(gup.exe)によって起動されました。この実行可能ファイルはNSISインストーラーであり、一連のシェルコマンド(whoamiやtasklist)を実行してシステム情報を`temp[.]sh`のURLに送信していました。この挙動は、2025年10月にNotepad++コミュニティフォーラムで「soft-parsley」というユーザーによって報告されています。
このチェーンで使用された「update.exe」は、Rapid7が文書化したものと同様に、ProShowソフトウェアに関連する正規のバイナリ(`ProShow.exe`)を悪用してDLLサイドローディングを行い、2つのシェルコードを展開しました。一つは実行されない陽動メカニズムとして機能し、もう一つはMetasploitダウンローダーペイロードを復号し、リモートURLからCobalt Strikeビーコンシェルコードを取得するものでした。
2025年9月中旬から下旬にかけて観測された第2の感染チェーンでは、悪意のある更新プログラムは引き続き`45.76.155[.]202/update/update.exe`を介して配信されましたが、「update.exe」NSISインストーラーには、より多くのシステム情報(whoami、tasklist、netstat)を収集し、Luaスクリプトを含む全く異なるペイロードセットを配信するためのわずかな変更が加えられていました。このLuaスクリプトはシェルコードを実行するように設計されており、起動されたシェルコードはCobalt StrikeビーコンをドロップするMetasploitダウンローダーでした。その後、9月下旬に観測された「update.exe」の別のバリアントでは、`systeminfo`シェルコマンドの結果も収集され、システム情報アップロードURLが`self-dns.it[.]com/list`に変更されました。
第3の感染チェーンは2025年10月に発生し、NSISインストーラーの配布URLが`45.32.144[.]255/update/update.exe`に変更され、Rapid7が記述したChrysalisの実行チェーンと同様のシーケンスが開始されました。これら3つの攻撃チェーンに共通しているのは、ビーコンがMetasploitダウンローダーシェルコードを介してロードされるという事実です。そして、2025年10月中旬以降、攻撃者は3つの異なるURL(`95.179.213[.]0/update/update.exe`、`95.179.213[.]0/update/install.exe`、`95.179.213[.]0/update/AutoUpdater.exe`)を介してインストーラーを拡散し、第2および第3の実行チェーンの組み合わせを起動し始めました。Kasperskyは、2025年11月以降はペイロードが展開された形跡を検出していません。
標的型スパイ活動:限定された被害と長期的な目的
Notepad++の更新インフラに対する侵害は、無差別なマルウェア配布を目的としたものではなく、特定のユーザーを標的とした極めて選択的で低ノイズなキャンペーンでした。Rapid7の脅威インテリジェンスおよび分析担当シニアディレクターであるクリスティアン・ビーク氏は、CyberScoopに対し、「大量のデータ流出の証拠はない」と述べています。観測されたツールは、広範なデータ収集ではなく、侵害後の偵察、コマンド実行、選択的なデータアクセスと一致していました。
この攻撃は、すべてのNotepad++ユーザーに大規模な被害をもたらしたわけではなく、影響を受けた環境は限定的でした。ビーク氏は、「侵害後の挙動には、システムプロファイリング、永続化メカニズム、リモートコマンド実行が含まれており、即時の混乱や収益化よりも長期的なスパイアクセスと一致している」と付け加えています。この目的は、Lotus Blossomの過去の活動と一致する戦略的インテリジェンス収集に合致していると見られています。
Notepad++は2003年にリリースされたWindowsベースのツールであり、開発者、IT管理者、エンジニア、アナリストなど、政府、通信、重要インフラ、メディア分野で働く人々を含む幅広いユーザーに利用されています。このような広範なユーザーベースを持つソフトウェアを標的とすることで、攻撃者は多くの機密性の高いターゲットへの潜在的なアクセスを得ようとしたと考えられます。この事件は、特定の高プロファイル組織のシステムに侵入することを可能にする、サプライチェーン攻撃の危険性を改めて示しています。
攻撃者が2025年9月2日にサーバーへの直接アクセスを失った後も、12月2日まで内部サービスへの正規の認証情報を維持し、Notepad++の更新トラフィックを悪意のあるサーバーにリダイレクトし続けた事実は、彼らの持続性とステルス性の高い手口を浮き彫りにしています。Notepad++のメンテナーであるドン・ホー氏は、攻撃者の不正アクセスが停止された後、より強力なセキュリティ対策を施した新しいホスティングプロバイダーにウェブサイトを移行したと述べています。ビーク氏も、Lotus Blossomの不正アクセスは阻止されたようで、この数ヶ月にわたるキャンペーンに関連する既知のインフラはもはや活動していないことを確認しています。
サプライチェーンの脆弱性:信頼の連鎖を悪用する脅威
Notepad++の更新インフラ侵害は、ソフトウェアエコシステムが近年、サプライチェーン攻撃の標的となるケースがいかに増加しているかを示す最新の事例です。この事件は、アプリケーションコード自体が安全であっても、ホスティング、検証、または配布におけるギャップが、信頼された更新チャネルを通じてリスクを導入する可能性があることを明確に示しています。このような攻撃は、企業がサードパーティ製ツールや自動更新チャネルに依存する中で、ソフトウェアサプライチェーンのセキュリティがなぜ中核的な懸念事項となっているのかを浮き彫りにします。
この攻撃は、Notepad++の古いバージョンに存在した「不十分な更新検証制御」を悪用したものです。具体的には、WinGUpの古いバージョンでは、ダウンロードされたバイナリのデジタル署名検証と証明書の一致が厳密に強制されていなかったため、改ざんされたインストーラーが警告なしに実行されることを許していました。この基本的なセキュリティ制御の欠如が、攻撃者にとって格好の侵入経路となりました。この教訓は、ソフトウェアの整合性検証がサプライチェーンセキュリティの最前線であることを示唆しています。
Notepad++プロジェクトは、より強力な保護策を実装し、すべての露出した認証情報をローテーションし、脆弱性をパッチし、さらなる悪用試行を12月上旬までにブロックしたと報告しています。しかし、この事件は、組織がパッチ適用を超えた多層的な防御アプローチを必要とすることを示しています。更新ライフサイクル全体にわたる可視性、制御、および準備が、サプライチェーンリスクを軽減するために不可欠です。
この事件は、ソフトウェア更新メカニズムが他の重要なシステムと同レベルの注意を払うべきであることを示しています。更新配信に関する制御を強化し、侵害シナリオに備えることで、組織は影響を制限し、将来のサプライチェーン問題への露出を減らすことができます。Notepad++の事例は、信頼されたチャネルが悪用された場合に生じる広範な影響を強調し、現代のサイバーセキュリティ戦略においてサプライチェーンの堅牢性が不可欠であることを再確認させます。
教訓と今後の対策:進化する脅威への備え
Notepad++の更新サーバーが標的型サプライチェーン攻撃によって乗っ取られた事件は、現代のデジタル環境におけるセキュリティ対策の複雑さと重要性を改めて浮き彫りにしました。この事件から得られる最も重要な教訓の一つは、アプリケーションコードの堅牢性だけでは不十分であり、その背後にあるインフラストラクチャや更新メカニズムのセキュリティが同様に、あるいはそれ以上に重要であるということです。攻撃者は、最も信頼されているチャネルを悪用することで、防御の目をかいくぐり、標的のシステムに侵入しようとします。
この事件を受けて、組織はサプライチェーンリスクを軽減するために、多層的な防御アプローチを講じる必要があります。まず、すべてのNotepad++インストールをバージョン8.8.9以降にパッチ適用し、更新時の厳密なデジタル署名および証明書検証を確実にすることが不可欠です。これにより、古いバージョンに存在した検証制御の不備が悪用されるリスクを排除できます。
次に、ソフトウェア配布を集中管理し、外部サーバーからの直接アップデーターダウンロードを許可するのではなく、内部リポジトリやエンドポイント管理ツールを使用することを検討すべきです。これにより、悪意のあるサーバーへのリダイレクトを防ぎ、配布チャネルの信頼性を高めることができます。また、エンドポイントおよびネットワークのテレメトリーを監視し、異常なインストーラーの実行、予期せぬダウンロードドメイン、または異常なアップデーターの挙動を検出する体制を強化することも重要です。
さらに、アプリケーションのホワイトリスト化を徹底し、開発ツールの信頼範囲を制限することで、信頼された更新チャネルが悪用された場合の被害範囲を限定することができます。アウトバウンドネットワーク制御と証明書検証を適用し、不正なサーバーにリダイレクトされた更新トラフィックを検出またはブロックする仕組みも必要です。既知の正規インストーラーのハッシュを追跡および検証し、エンドポイントで実行される改ざんされたバイナリや予期せぬバイナリを特定することも、防御策として有効です。
最後に、サプライチェーンおよび更新メカニズムの侵害シナリオに対するインシデント対応計画をテストし、改善することが不可欠です。これには、検出、封じ込め、および復旧のワークフローが含まれます。これらの対策を総合的に実施することで、組織は侵害された更新チャネルの影響を制限し、被害範囲を縮小し、サプライチェーンリスクに対する全体的なレジリエンスを強化することができます。Notepad++の事例は、サイバーセキュリティが単一の防御層ではなく、継続的な監視と適応を必要とする包括的なエコシステムであることを示唆しています。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Notepad++ Update Hijacking Linked to Hosting Provider Compromise - https://www.infosecurity-magazine.com/news/notepad-update-hijacked/
- -Notepad++ Hosting Breach Attributed to China-Linked Lotus Blossom Hacking Group - https://thehackernews.com/2026/02/notepad-hosting-breach-attributed-to.html
- -China-based espionage group compromised Notepad++ for six months | CyberScoop - https://cyberscoop.com/china-espionage-group-lotus-blossom-attacks-notepad/
- -Notepad++ Update Servers Hijacked in Targeted Supply Chain Attack | eSecurity Planet - https://www.esecurityplanet.com/threats/notepad-update-servers-hijacked-in-targeted-supply-chain-attack/