-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
Notepad++めぐるサプライチェーン攻撃、攻撃者はアップデートメカニズムを悪用か
Help Net Security – February 2, 2026、The Register – Mon 2 Feb 2026、Ars Technica – February 3, 2026
2025年12月に報告された、Windows向けの人気テキストエディタNotepad++のアップデートメカニズムを乗っ取ったサプライチェーン攻撃により、限定的な数の被害者に悪意あるアップデートが配布されていたという。Notepad++のメンテナであるDon Ho氏が2月2日に認めた。
Notepad++のアップデートメカニズム
今回のサプライチェーン侵害は、Notepad++のコード自体に存在する脆弱性の悪用を通じたものではなく、「ホスティングプロバイダーレベル」での侵害だったとHo氏は述べている。
Notepad++には、アップデートプログラム「WinGUP」による自動アップデートの仕組みが存在。WinGUPは、アップデートの配布元である「notepad-plus-plus[.]org」(現在はGitHubに取得先を固定済み)から最新バージョンを自動でダウンロード・インストールする機能を持つ。
具体的には、Notepad++がアップデートの確認を行うと、WinGUPの実行ファイルである「gup[.]exe」が、現在使われているNotepad++バージョンを更新URL配布用のAPI「https://notepad-plus-plus[.]org/update/getDownloadUrl[.]php」に伝え、そこから、最新バージョンの番号やダウンロードURLなどのアップデートに関する情報が入ったファイル「gup[.]xml」を取得する。その後、gup[.]exeはこのダウンロードURLから更新用インストーラーをダウンロードし、それを端末内の一時フォルダに保存して実行する、という流れ。
しかし、8.8.8以前のWinGUPでは、
- 更新プログラムのダウンロード元URLを変更可能な設計だったこと
- ダウンロードした更新ファイルの完全性・真正性の検証が不十分だったこと
が問題となり、今回のサプライチェーン侵害で悪用され得る状況が存在していたという。
また、2025年12月にNotepad++ユーザー組織3組の侵害被害に関連するブログ記事を公開していたセキュリティ研究者のKevin Beaumont氏は当時、このアップデートトラフィックを傍受して変更を加えれば、任意のダウンロードURLへリダイレクトさせることができるとの仮説を提示。このような攻撃にはISPレベルでの介入など大きなリソースが必要だが、notepad-plus-plus[.]orgへの通信量が比較的少ないため、理論上は実現不可能ではないとの見解を示していた。
共有ホスティングサーバーの侵害
上記の問題に加え、Notepad++の公式サイトであり更新プログラムの取得先(配布元)であるnotepad-plus-plus[.]orgをホストしていた共有ホスティングサーバーは、2025年6月から脅威アクターに侵害されていたという。同サーバーのホスティングプロバイダーが認めている。
脅威アクターが同サーバーにアクセスできていた状態は2025年9月2日まで続いたとされ、この日にサーバーのカーネルおよびファームウェアが更新されたのち、アクターのアクセスは失われた。
しかしホスティングプロバイダーによれば、アクターは9月2日以降、12月2日までの期間も同ホスティングサーバー上に存在していた内部サービスの認証情報を保持していたとされる。これにより、https://notepad-plus-plus[.]org/getDownloadUrl[.]phpへ向かうトラフィックをアクター自身の制御するサーバーへリダイレクトさせ、このサーバーから侵害版更新プログラムのダウンロードURLを含むアップデート情報を返すことが可能な状態だったという。
東アジアに関連のある組織を狙った標的型攻撃か
Beaumont氏が12月に報告したところによると、同氏は、Notepad++のアップデートメカニズムを通じたサプライチェーン攻撃で被害に遭った組織少なくとも3組から話を聞くことができたという。いずれの組織も「東アジアに関心や関係を持つ組織」であり、「標的をかなり絞り込んだ攻撃」であるとみられることや、攻撃者が直接手動で標的マシンを操作する「ハンズオン・キーボード攻撃」による偵察活動が実施されたことも伝えられた。
また2月2日のMastodonへの投稿では、被害組織が通信事業者や金融サービス事業者であったことを共有した。
中国の国家支援型アクターが関与している疑い
Beaumont氏は、これらの攻撃が中国の国家型脅威アクター「Funky Stamen(別称:Zirconium、Violet Typhoonなど)」によるものであるとの見方を伝えている。
一方で、2月3日にサイバーセキュリティ企業Rapid7は、「Notepad++をホストするインフラの巧妙な侵害に起因するセキュリティインシデント」に関するブログ記事を公開。同記事の中で、この攻撃を中国のAPTグループ「Lotus Blossom」に関連付けた。なお同インシデントの初期アクセス経路は、今回のサプライチェーン侵害と合致しているとされる。
Ho氏も、「複数の独立系セキュリティ研究者が、今回の脅威アクターは中国の国家支援型グループである可能性が高いと評価している」と記し、そうであれば「キャンペーンで観測されたかなり的を絞った標的選定の説明もつくだろう」と述べている。
Lotus Blossomとカスタムバックドア「Chrysalis」
Rapid7のブログ記事では、今回のサプライチェーン侵害を通じてLotus Blossomが配布したとされる、これまで知られていなかったカスタムバックドア「Chrysalis」の詳細な分析が共有されている。
同社の観測した攻撃では、まずNotepad++の実行後にアップデーター(gup[.]exe)が動き、その直後に外部IP(95.179.213.0.)からダウンロードされた不審なプロセス(update.exe)が実行され、感染チェーンがスタートしたという。
update.exeは、複数レイヤから成るシェルコードローダーにより、Microsoft製の難読化・保護フレームワーク「Microsoft Warbird」を悪用するとされるWarbirdローダーが実行され、最終的にDLLサイドローディングを通じてChrysalisを展開すると報告されている。
高度な難読化とステルス性を特徴とするChrysalisのメイン機能は、感染先アセットに関する情報の収集と、C2サーバーとの通信の開始。現在時刻、インストールされているアンチウイルス、OSバージョン、ユーザー名、コンピューター名といった情報を集めるほか、C2からの指示に従ってコマンド実行などのタスクを遂行して、結果を再度C2に返す性能を持つという。
このほか、Rapid7のブログ記事では、同バックドアやローダーに関する詳細な説明と、IoC情報も共有されている。
Notepad++利用者への推奨事項
Ho氏はNotepad++の公式ページにおいて、Notepad++側ではすべてのシークレット情報(認証情報・鍵など)を更新済みであるとしつつも、利用者へ以下の対応の実施を推奨した。ただし、これらの対応を2025年12月2日以降にすでに実施している場合は、追加の対応は不要とのこと。
- SSH、FTP/SFTP、およびMySQLデータベースの認証情報を変更する
- (WordPressサイトを運用している場合)管理者アカウントを確認し、パスワードを変更したうえで不要なユーザーを削除する
- (WordPressサイトを運用している場合)プラグイン、テーマ、およびWordPress本体を最新バージョンに更新し、可能であれば自動更新を有効にする
【無料配布中レポート】
各種レポートを無料配布中!バナー画像よりダウンロード可能です。
【最新版】インテリジェンス要件定義に関するガイドブック
-300x200.png)
地政学レポート
OSINT関連レポート
ディープ&ダークウェブレポート
とは?.jpg)