中国のAPTグループがNotepad++サプライチェーンを悪用した標的型攻撃を実行

中国のAPTグループがNotepad++サプライチェーンを悪用した標的型攻撃を実行

中国国家支援の脅威アクターが、人気テキストエディタNotepad++のアップデートインフラを侵害し、トロイの木馬化されたバージョンを選定した標的に配信する高度なサプライチェーン攻撃を実行しました。この侵害は約6か月間続き、攻撃者は初期の修復作業後もさらに3か月間、内部サービスへのアクセスを維持していました。

技術的詳細

この攻撃は、古いNotepad++バージョンにおける不十分なアップデート検証制御を悪用しました。インシデント対応者によると：

• 名前非公開のホスティングプロバイダーのインフラは、2025年9月2日まで侵害された状態でした
• 攻撃者は内部サービスの認証情報を2025年12月2日まで保持し、アップデートトラフィックを悪意のあるサーバーにリダイレクトし続けることが可能でした
• イベントログには、脆弱性が修正された後も再侵害の試みが記録されています
• 脅威アクターは、レガシーなアップデート検証メカニズムを回避するため、Notepad++のドメインを特定して標的にしました

Notepad++の担当者は、バージョン8.9.1より前のすべてのバージョンがこのサプライチェーン攻撃に対して脆弱であることを確認しました。影響を受けたユーザーの総数は公表されていませんが、攻撃は「高度に標的型」であり、広範囲に及ぶものではないと強調しています。

影響分析

このインシデントは、高度持続的脅威（APT）によるサプライチェーン攻撃の巧妙化が進んでいることを示しています。主なリスクには以下が含まれます：

• 選択的標的化：攻撃者は特定の組織や個人にマルウェアを配信しつつ、他のユーザーには正規のアップデートを提供し続けることが可能
• 長期的な持続性：6か月にわたる侵害期間により、広範な偵察とペイロード配信が可能に
• アップデートハイジャック：初期の修復後もアップデートトラフィックをリダイレクトする能力は、ソフトウェア配信チャネルを完全に保護することの難しさを浮き彫りにしています

推奨対策

セキュリティチームは以下の対策を実施すべきです：

1. 直ちに確認：すべてのNotepad++インストールがバージョン8.9.1以降にアップデートされていることを確認
2. システム監査：特に古いバージョンを使用しているシステムについて、侵害の兆候を調査
3. アップデートメカニズムの見直し：他の重要なソフトウェアについても、同様の検証ギャップがないか確認
4. 異常なアップデート動作の監視：予期しないリダイレクトや証明書の変更など、不審な動作を監視
5. コード署名検証の実装：多層防御策として、すべてのソフトウェアアップデートに対するコード署名検証を実施

Notepad++チームは具体的な侵害指標（IOC）を公開していませんが、予期しないアップデート動作は潜在的に悪意があるものとして扱うよう助言しています。