Notepad++が国家支援ハッカーにハイジャック—ホスティング侵害で半年間アップデートトラフィックを誘導

開発者が日常的に使う人気テキストエディタNotepad++が、中国国家支援ハッカーによって半年以上もハイジャックされていた。信頼された「正規のアップデート」が悪意のあるサーバーへ誘導され、政府機関を含む標的にマルウェアが配布されていたという衝撃の事実が明らかになった。

Notepad++の開発者は2026年2月2日、同ソフトウェアが国家支援ハッカーによってハイジャックされたと発表した。攻撃は2025年6月に開始され、ホスティングプロバイダーレベルでの侵害により、特定ユーザーのアップデートトラフィックが攻撃者のサーバーへリダイレクトされた。

複数のセキュリティ研究者は攻撃者を中国の国家支援グループと評価している。ホスティングプロバイダーの声明によると、サーバーは2025年9月2日まで侵害され、攻撃者は12月2日まで内部サービスの認証情報を保持していた。

インシデントレスポンスチームは約400GBのサーバーログを分析したが、具体的な侵害指標は発見できなかった。v8.8.9でアップデーターが強化され、証明書と署名の検証が追加された。約1か月後にリリース予定のv8.9.2では検証が強制される。

2月3日にRapid7とKasperskyが技術情報と侵害指標を公開し、2月5日に元ホスティングプロバイダーも侵害指標を提供した。

From: Notepad++ Hijacked by State-Sponsored Hackers

【編集部解説】

今回の事件は、単なるソフトウェアの脆弱性を突いた攻撃ではありません。Notepad++のコード自体には問題がなく、ホスティングプロバイダーのインフラストラクチャレベルで侵害が発生しました。これは攻撃者が一段高い視点から攻撃を仕掛けてきたことを意味します。

特筆すべきは攻撃の選択性です。Rapid7とKasperskyの調査によれば、攻撃者は同じサーバーでホストされている他の顧客には一切手を出さず、Notepad++のドメインのみを標的としていました。Kasperskyのテレメトリでは、ベトナム、エルサルバドル、オーストラリア、フィリピンの政府機関、エルサルバドルの金融機関など、約12台のマシンのみが標的になったことが確認されています。

攻撃の高度さは感染チェーンの多様性にも表れています。Kasperskyは2025年7月から10月にかけて3つの異なる感染チェーンを確認しました。攻撃者は約1か月ごとにC2サーバーアドレス、ダウンローダー、最終ペイロードを変更し続けていたのです。これは検出を回避し、長期的なアクセスを維持するための周到な戦略といえます。

Rapid7の調査では、Chrysalisと名付けられた未文書化のカスタムバックドアが発見されました。このマルウェアは複数のコマンド機能を持ち、対話型シェル、ファイル操作、リモートコード実行など15種類以上の機能を備えています。さらに、Microsoft Warbirdという複雑なコード保護フレームワークを悪用したローダーの使用も確認されており、2009年から活動する中国のAPTグループLotus Blossomに帰属されています。

この事件が与える影響は広範囲に及びます。Notepad++は全世界で数百万人が使用する開発者向けテキストエディタです。信頼されたツールの更新メカニズムが侵害されると、従来のセキュリティ対策をすり抜けることができます。ユーザーは正規のアップデートだと信じて疑わないからです。

アップデート検証の不足が攻撃を可能にしました。古いバージョンのNotepad++では、ダウンロードしたインストーラーの証明書と署名を厳密に検証していませんでした。v8.8.9からはWinGup（アップデーター）が強化され、証明書と署名の両方を検証するようになり、XMLDSig署名も追加されています。約1か月後にリリース予定のv8.9.2では、この検証が強制されます。

長期的な視点で見ると、この事件はソフトウェア供給チェーンのセキュリティに対する意識を高める転機となるでしょう。開発者は自身のコードだけでなく、ホスティング環境、CDN、更新配信メカニズムなど、ソフトウェアを取り巻くエコシステム全体のセキュリティを考慮する必要があります。

Kasperskyは検出方法として、NSIS インストーラーの展開監視、temp.shドメインへのDNS解決チェック、疑わしいシェルコマンド（whoami、tasklist、systeminfo、netstat -ano）の実行監視を推奨しています。これらは今後の防御策を考える上で重要な指標となります。

【用語解説】

サプライチェーン攻撃
ソフトウェアの開発から配布までの供給過程に介入し、正規のアップデートや配信経路を通じてマルウェアを配布する攻撃手法。信頼された経路を悪用するため、従来のセキュリティ対策をすり抜けやすい。

侵害指標（IoC）
Indicator of Compromiseの略。サイバー攻撃や侵害の痕跡を示す情報で、IPアドレス、ドメイン名、ファイルハッシュ値などが含まれる。セキュリティ対策や攻撃の検出に用いられる。

APTグループ
Advanced Persistent Threatの略。高度で持続的な標的型攻撃を行うサイバー攻撃組織。多くの場合、国家支援を受けており、長期的なスパイ活動や情報窃取を目的とする。

バックドア
システムやソフトウェアに不正に設置される隠し扉のような機能。攻撃者が正規の認証を回避して遠隔からシステムにアクセスし、データ窃取やコマンド実行を可能にする。

C2サーバー
Command and Controlサーバーの略。マルウェアに感染した端末を遠隔操作するための指令サーバー。攻撃者はこれを通じて感染端末に命令を送り、情報を受信する。

XMLDSig
XML Signatureの略。XML文書のデジタル署名規格。データの改ざん検知と送信元の認証を可能にし、ソフトウェアアップデート情報の完全性を保証する。

WinGup
Notepad++のアップデート機能を担うコンポーネント。新しいバージョンの確認、ダウンロード、インストールを自動化する。今回の事件を受けて証明書と署名の検証機能が強化された。

Lotus Blossom
2009年から活動する中国に関連するAPTグループ。主に東南アジアや南アジアの政府機関、軍事組織を標的とし、長期的なスパイ活動を行っている。

【参考リンク】

Notepad++公式サイト（外部）
Windows向けオープンソーステキストエディタ。プログラマーに広く使用され、シンタックスハイライトやプラグイン対応などの高機能を備える。

Rapid7（外部）
サイバーセキュリティソリューション企業。脆弱性管理やインシデントレスポンスを提供し、今回Chrysalisバックドアを発見した。

Kaspersky（カスペルスキー）（外部）
世界的なサイバーセキュリティ企業。マルウェア分析や脅威インテリジェンスに強みを持ち、今回の攻撃の技術的詳細とIoCを公開した。

【参考記事】

The Chrysalis Backdoor: A Deep Dive into Lotus Blossom’s toolkit（外部）
Rapid7によるNotepad++攻撃の詳細分析。Chrysalisバックドアを発見し、15種類以上の機能とMicrosoft Warbird悪用を明らかにした。

Notepad++ supply chain attack breakdown（外部）
Kasperskyによる技術的詳細と侵害指標の公開。3つの感染チェーンを確認し、約12台のマシンが標的になったことを明らかにした。

【編集部後記】

今回の事件を知って、皆さんはどのような対策を考えますか？私自身、毎日使っているツールの更新通知を何気なくクリックしていることに改めて気づかされました。

Notepad++のような信頼されたソフトウェアでさえ、配信経路が狙われる時代です。開発者のコードが完璧でも、ホスティング環境やCDNなど、見えない部分にリスクが潜んでいます。

皆さんが使っている開発ツールやソフトウェアは、どのような更新メカニズムを持っているでしょうか。証明書の検証、署名の確認、配信元の信頼性—こうした「見えないセキュリティ」について、一緒に考えていきたいです。