Notepad++は2月2日(現地時間)、「Notepad++ Hijacked by State-Sponsored Hackers|Notepad++」において、2025年6月ごろからアプリの更新トラフィックをハイジャックされていたと発表した。Notepad++はオープンソースのテキストエディタ。

影響を受けたユーザーは、侵害された悪意のある実行ファイルをダウンロードおよび実行した可能性があるという。

  • Notepad++ Hijacked by State-Sponsored Hackers|Notepad++

    Notepad++ Hijacked by State-Sponsored Hackers|Notepad++

Notepad++の更新トラフィックを乗っ取る

今回の件はNotepad++アプリの脆弱性を示すものではない。Notepad++の更新サービスをホストしていた共有ホスティングプロバイダーが侵害され、その影響を受けた事案とされる。

攻撃者は2025年6月ごろから12月2日までの期間、共有ホスティングプロバイダーを侵害することで「notepad-plus-plus.org」宛ての更新トラフィックを傍受し、悪意のあるサーバにリダイレクト可能だったとされる。攻撃者はNotepad++のユーザー全員を標的とせず、特定のユーザーを選択的に狙ったと報告されている。

本稿執筆時点において公開できるセキュリティ侵害インジケーター(IoC: Indicator of Compromise)はないとしながらも、攻撃者は中国政府が支援する脅威グループの可能性が高いと推定されている。

影響と対策

侵害を受けた共有ホスティングプロバイダーは修復およびセキュリティ強化を実施し、12月2日以降の攻撃を阻止したとされる。しかしながら、Notepad++はこの深刻な事態に対処するためとして、セキュリティの強化された新しいホスティングプロバイダーに移行したことを明らかにした。

また、同様の事案による将来の影響を軽減するため、Notepad++のアップデート処理に証明書および署名の検証処理を追加。さらにアップデートサーバから返されるXMLデータを署名付きに変更し、約1カ月後にリリースを予定しているバージョン8.9.2以降で証明書と署名の検証を強制的に実行する予定としている。

現在はセキュリティ強化を含むバージョン8.9.1を公開中。すべてのユーザーにバージョン8.9.1への手動アップデートを推奨している。

なお、すでに悪意のある実行ファイルをダウンロードおよびインストールした可能性のあるユーザーへの対策および検証手段などは示されていない。影響を受けた可能性のあるユーザーは、信頼できるセキュリティソリューションなどを使用し、不審な通信や活動などを独自に調査する必要がある。