テキストエディタ「Notepad++」のアップデートツールが乗っ取り被害 バックドアの配信に悪用 中国APT集団が関与か：この頃、セキュリティ界隈で

[鈴木聖子，ITmedia]

　Windows向けテキストエディタ「Notepad++」のアップデートツールを何者かが乗っ取り、特定の標的を狙ってバックドアを仕込んだ不正なプログラムを配信していたことが分かったとして、開発元が2月2日、これまでの経緯を明らかにした。この攻撃については外部の専門家やホスティングプロバイダーが協力して調査を続けている。

Notepad++の公式サイト「notepad-plus-plus.org」から引用

　問題が発覚したのは2025年12月。Notepad++の公式サイト「notepad-plus-plus.org」に掲載された情報によると、Notepad++のアップデートツール「WinGUp」のトラフィックが時折、不正なサーバにリダイレクトされていたことが、サイバーセキュリティ専門家からの報告で分かった。攻撃者はこの手口を使って狙った相手に不正な実行可能ファイルをダウンロードさせていたとみられる。

　報告を受けて調べた結果、ダウンロードしたアップデートファイルの整合性と真正性を検証する方法に脆弱性があることが判明。攻撃者がこの問題を悪用すれば、アップデートする側とNotepad++のアップデートツールの間のトラフィックに割り込んで、正規のNotepad++の代わりに、攻撃者の操る不正なアップデートをダウンロードさせることが可能だった。

　Notepad++は12月9日にリリースした更新版のバージョン8.8.9でこの問題に対応し、新たなセキュリティ対策を導入したとしている。

　攻撃は25年6月から始まり、サイバーセキュリティ専門家の診断では11月10日まで続いた。ただ、Notepad++が当時利用していたホスティングプロバイダーによれば、対策を完了して攻撃を封じ込めた12月2日までは不正アクセスが続いていた形跡があるという。

　今回の事態を受けてNotepad++のWebサイトはセキュリティ対策が強固な別のホスティングプロバイダーに移行した。WinGupもバージョン8.8.9でセキュリティを強化して、ダウンロードしたインストーラの証明書と署名の両方を検証する対策を講じたとしている。

複数の組織で被害 中国関連グループが関与か

　この問題に関連して、サイバーセキュリティ研究者のケビン・ボーモント氏は12月の時点で、「東アジアに関係する3組織から、Notepad++がインストールされたマシンでセキュリティ事案が発生したという話を聞いた」と伝えていた。

ケビン・ボーモント氏が書いたブログ記事から引用

　その上で、全容はまだ把握できていないものの、「これまでに被害が確認されたのはごく少数の組織にとどまる。他の組織は過剰反応すべきではない」と呼び掛けた。

　専門家は今回の攻撃について、中国国家を後ろ盾とするAPT集団（特定の標的を狙って長期的な攻撃を展開するサイバー攻撃グループ）「Lotus Blossom」が関与していると推測する。

　サイバーセキュリティ企業の米Rapid7によると、Lotus Blossomは東南アジアや中米でスパイ活動を展開している集団で、政府機関や航空、通信、重要インフラ、メディアなどを主な標的としている。今回はカスタムバックドアの「Chrysalis」を仕込む目的でNotepad++のアップデートを利用したと思われる。

　Chrysalisはこれまで未発見だったバックドアで、高度な機能を搭載し、検出を難しくする仕組みを実装していた。「Lotus Blossomが最新の検出技術に先行しようと、積極的に手口をアップデートしていることの表れ」とRapid7は分析している。