セキュリティ

Notepad++が国家支援ハッカーにハイジャックされマルウェア入りインストーラーを配布していたことが判明


テキストエディターの「Notepad++」のアップデーターであるWinGUpからのトラフィックが、悪意のあるドメインにリダイレクトされ、マルウェアを配布してしまうという問題が続いていたのですが、この背後には国家支援ハッカーが存在していたことが明らかになりました。

Notepad++ Hijacked by State-Sponsored Hackers | Notepad++
https://notepad-plus-plus.org/news/hijacked-incident-info-update/


Notepad++ Official Update Mechanism Hijacked to Deliver Malware to Select Users
https://thehackernews.com/2026/02/notepad-official-update-mechanism.html

2025年、Notepad++のアップデーターであるWinGUpのトラフィックが、悪意のあるドメインにリダイレクトされてしまい、マルウェアを配布してしまうという問題が起こっていました。これに対処するべく、Notepad++は2025年12月にNotepad++のバージョン8.8.9をリリースしていました。


ハッキング被害にあったNotepad++は外部の専門家と協力し、ハッキングの詳細について調査を続けています。セキュリティ専門家の分析によると、Notepad++が受けた攻撃はインフラレベルの侵害を伴うもので、悪意のある攻撃者がNotepad++のドメインである「notepad-plus-plus.org」の更新トラフィックを傍受し、リダイレクトするというものだったそうです。

正確なハッキングメカニズムについては調査中とのことですが、侵害はNotepad++のコード自体に存在する脆弱(ぜいじゃく)性を用いたものではなく、ホスティングプロバイダーレベルで発生したものであることが明らかになったわけ。Notepad++は今回のハッキング攻撃について、「特定の標的ユーザーからのトラフィックが、攻撃者が制御する悪意のある更新マニフェストに選択的にリダイレクトされた」と説明しました。

Notepad++によると、ハッキング攻撃は2025年6月から始まっており、複数の独立したセキュリティ研究者が「犯人は中国政府が支援するグループである可能性が高い」と評価しているそうです。

なお、独立系セキュリティ研究者のケビン・ボーモント氏は、Notepad++にハッキングを仕掛けたのは中国が支援する脅威アクターの「Violet Typhoon(APT31)」によるものであると指摘しています。

Post by @[email protected]
View on Mastodon


既にセキュリティ専門家からインシデント対応計画が提案されており、Notepad++はホスティングプロバイダーとインシデント対応チーム間の直接的なコミュニケーションを促進しているそうです。そして、IRチームがプロバイダーと連携し、状況を確認した後、プロバイダーから「共有ホスティングサーバーが2025年9月2日まで侵害を受けていた」という説明を受けています。

これによると、サーバーへのアクセスを失った後も攻撃者は2025年12月2日まで内部サービスの認証情報を保持しており、Notepad++の更新トラフィックを悪意のあるサーバーにリダイレクトし続けていたそうです。攻撃者は特にNotepad++ドメインを標的に、旧バージョンのNotepad++に存在していた不十分な更新検証機能を悪用しようとしていた模様。プロバイダーは2025年12月2日までにすべての修復とセキュリティ強化を完了し、攻撃者のさらなる活動を阻止することに成功しています。

この深刻なセキュリティ問題に対処するため、Notepad++のウェブサイトは、セキュリティ対策が大幅に強化された新しいホスティングプロバイダーに移行しました。また、Notepad++自体もバージョン8.8.9でWinGupを強化し、ダウンロードしたインストーラーの証明書と署名の両方を検証するように仕様を変更しています。

加えて、アップデートサーバーから返されるXMLは署名付き(XMLDSig)となり、約1カ月後にリリース予定のバージョン8.9.2からは証明書と署名の検証が強制的に実行されるようになるそうです。

なお、ソーシャル掲示板のHacker News上では「Notepad++はアップデートで政治的なメッセージを出すことで知られています。台湾ウクライナなど」と述べ、Notepad++が台湾の主権を支持すると表明していることが、中国の政府支援ハッカーのターゲットとなった理由であると指摘する声もあります。

Notepad++ v8.6.9 - 支持台灣獨立 (Support Taiwan's Independence) | Notepad++
https://notepad-plus-plus.org/news/v869-about-taiwan/

この記事のタイトルとURLをコピーする

・関連記事
「Notepad++」が中国でブロック対象に、Stand with Hong Kongエディションが原因か - GIGAZINE

Googleが「ロシアや中国政府が支援するハッカー集団がWinRARのゼロデイ脆弱性を悪用して攻撃を行っている」と指摘 - GIGAZINE

FBIが中国政府支援のハッキング集団「ボルト・タイフーン」のサイバー攻撃用ボットネットの解体に成功したと発表 - GIGAZINE

Microsoftのソースコードと内部システムにロシア政府系ハッカー「Midnight Blizzard」がアクセスしていたことが判明 - GIGAZINE

ロシア政府の支援を受けるハッカーがアメリカ政府機関をハッキングしてメール内容などを監視していたことが判明 - GIGAZINE

・関連コンテンツ

in ソフトウェア,   セキュリティ, Posted by logu_ii

You can read the machine translated English article Notepad++ was hijacked by state-sponsore….