2026-02-12
国家主導の攻撃者がNotepad++のサプライチェーンを悪用
2025年6月から12月にかけて、テキストエディタNotepad++の公式ホスティングインフラが国家支援の脅威グループ「Lotus Blossom」によって侵害されました。攻撃者は、共有ホスティングプロバイダーの環境に侵入し、Notepad++の更新サーバーに向かうトラフィックを傍受・リダイレクトしました。このインフラのハイジャックにより、特定のユーザーを狙った攻撃が可能となり、主に東南アジアの政府、通信、重要インフラセクターが標的となりました。攻撃者は、正規のソフトウェア更新の代わりに悪意のある更新マニフェストを提供しました。さらに、Cobalt StrikeビーコンマルウェアやChrysalisバックドアを配信するための複数の感染チェーンが確認されています。
メトリクス
このニュースのスケール度合い
6.0
/10
インパクト
7.0
/10
予想外またはユニーク度
7.5
/10
脅威に備える準備が必要な期間が時間的にどれだけ近いか
7.0
/10
このニュースで行動が起きる/起こすべき度合い
7.0
/10
主なポイント
- ✓ Notepad++の公式ホスティングインフラが国家支援の脅威グループによって侵害されました。
- ✓ 攻撃者は特定のユーザーを狙い、悪意のあるソフトウェア更新を配信しました。
社会的影響
- ! この攻撃は、国家主導のサイバー攻撃の脅威を再認識させ、特に重要インフラに対するリスクを高めています。
- ! Notepad++のような広く使用されるツールが攻撃の標的となることで、企業や組織のセキュリティ対策の見直しが求められています。
編集長の意見
今回のNotepad++に対する攻撃は、サプライチェーン攻撃の新たな側面を示しています。特に、広く使用されるオープンソースソフトウェアが攻撃者にとっての重要なターゲットとなることは、企業や組織にとって深刻な警鐘です。攻撃者は、特定のユーザーを狙うために、インフラをハイジャックし、悪意のある更新を配信する手法を用いました。このような手法は、従来の防御策を容易に回避することができ、特権ユーザーのセッションに侵入することを可能にします。今後、企業はサプライチェーンのセキュリティを強化し、ソフトウェアの更新プロセスにおける検証を徹底する必要があります。また、ユーザー教育も重要であり、正規のソフトウェア更新を確認するための手順を周知徹底することが求められます。さらに、セキュリティベンダーは、こうした攻撃に対する防御策を強化し、リアルタイムでの脅威検知能力を向上させる必要があります。特に、Cobalt StrikeやChrysalisのような高度なマルウェアに対する防御策を強化することが急務です。これにより、企業は将来的な攻撃に対する耐性を高めることができるでしょう。
背景情報
- i Notepad++は、オープンソースの軽量テキストエディタであり、特にシステム管理者やネットワークエンジニアに広く使用されています。このツールは、サーバー設定の変更やシステムログの解析に利用されるため、攻撃者にとって戦略的に重要なターゲットとなります。
- i 今回の攻撃は、Notepad++の古いバージョンのアップデーターであるWinGUpの不十分な検証コントロールを悪用したもので、攻撃者はトラフィックを攻撃者が制御するサーバーにリダイレクトしました。これにより、ターゲットがソフトウェアを更新しようとした際に、悪意のあるNSISインストーラーがダウンロードされました。