Notepad++の公式アップデート機構がハイジャックされていた

何が起きたのか

Notepad++の公式アップデート機構であるWinGUpがハイジャックされ、一部ユーザーのアップデートトラフィックが悪意あるサーバーにリダイレクトされていた。攻撃は2025年6月から行われており、公になったのは半年以上後の2025年12月。

重要なのは、Notepad++のコード自体に脆弱性があったわけではないという点。開発者のDon Ho氏は「侵害はホスティングプロバイダレベルで発生した」と述べている。

攻撃は2段階の問題が重なって成立していた。

1. ホスティングサーバーの侵害

Notepad++のWebサイトをホストしていたサーバーが攻撃者に侵害された。これにより、アップデートのトラフィックを直接傍受し、不正なサーバーへリダイレクトすることが可能になっていた。

ホスティングプロバイダによると、共有ホスティングサーバーへのアクセスは2025年9月2日まで、内部サービスの認証情報は2025年12月2日まで悪用されていた。

2. WinGUpの検証不備

Notepad++のアップデーター（WinGUp）は、ダウンロードしたファイルの整合性検証が不十分だった。そのため、ネットワークレベルでトラフィックを傍受された場合、偽のバイナリを正規のアップデートとして受け入れてしまう状態だった。

全ユーザーが影響を受けたわけではない。リダイレクトは高度に選択的で、特定のユーザーのトラフィックだけが不正サーバーに誘導されていた。セキュリティ研究者のKevin Beaumont氏によると、中国の脅威アクターによる攻撃とされている。

Notepad++チームは以下の対応を取った。

Notepad++を使っている場合は、v8.8.9以降にアップデートしておくのが安全。

ソフトウェアのコードではなく配布インフラを狙うタイプのサプライチェーン攻撃で、過去にはSolarWindsやCodecovでも同様の手法が使われている。ソフトウェア自体のセキュリティだけでなく、ビルド・配布パイプライン全体の信頼性が問われる事例。