Notepad++が国家支援のハッキング組織によりサプライチェーン乗っ取り、中国関与の疑い

概要

• 2025年6月から12月2日まで、Notepad++のアップデート通信の一部が攻撃者インフラへリダイレクトされる乗っ取り攻撃が発生。
• 侵害箇所はNotepad++のコードではなく、以前利用していた共有ホスティング事業者のインフラであり、特定の標的ユーザーにのみ悪意あるアップデートが選択的に配信された。

攻撃の詳細と背後関係

• ホスティングサーバーは2025-09-02まで侵害状態にあり、その後も12-02までは奪取された内部サービス認証情報によって通信の一部を迂回させることができたとみられる。
• 複数の独立系セキュリティ研究者(independent security researchers)は、非常に限定的な標的化とインフラレベルの攻撃手法を根拠に、中国の国家支援ハッキンググループである可能性が高いと見ている。

Notepad++側の対応

• サイト全体を、より高いセキュリティ水準の新しいホスティングプロバイダーへ移行。
• WinGup（アップデータ）をv8.8.9で強化し、インストーラーの証明書・署名検証と、署名済みXMLアップデート応答を導入。v8.9.2からはこの検証を必須化する予定。

ユーザーへの推奨事項

• プロジェクト側は今回の乗っ取りによる影響について謝罪し、セキュリティ改善を含むv8.9.1インストーラーを直接ダウンロードして手動でアップデートするよう案内