「Notepad++」の自動更新で不正ファイルがDLされる問題、開発チームが調査結果を公表

「Notepad++」開発チームの声明

　2025年12月に発覚したセキュリティインシデントに関し、「Notepad++」の開発チームは2月2日、外部のセキュリティ専門家をまじえた調査の結果を発表した。

　このセキュリティインシデントは、「Notepad++」で用いられている自動アップデートツール「WinGUp」でトラフィック（通信）がハイジャックされ、偽の実行ファイルがダウンロードされるというもの。最悪の場合、システムにマルウェアを植え付けられ、完全に乗っ取られる可能性がある。

　調査の結果、この問題は「Notepad++」や「WinGUp」自体の侵害ではなく、共有ホスティングサーバーへの攻撃が原因であったとのこと。攻撃は2025年6月頃に始まり、9月2日まで攻撃者がサーバーに直接アクセスできる状態だったという。

　9月2日にサーバーのカーネルファームウェアを更新したことにより、攻撃者がサーバーへ直接アクセスできる状態は解消されたものの、内部サービスの資格情報（ログイン情報）は12月2日まで攻撃者側で保持されていたようで、一部の自動更新ユーザーが不正なサーバーへリダイレクトされてしまっていた。

　つまり、全体として2025年6月から12月2日までが侵害期間と推定されている。なお、標的は「Notepad++」のみで、他の顧客への影響は確認されていないとのこと。

　開発チームはホスティングサーバーの脆弱性に対処し、資格情報をすべて改めた上で、すべてのサーバーログをチェックして問題がないことを確認したという。また、対策としてホスティングサーバーをより強固な環境へ移行するとともに、「WinGUp」の証明書・署名の検証処理を強化して、次のバージョンv8.9.2よりこれを強制するとしている。

　「Notepad++」は、海外のプログラマーを中心に幅広い支持を集めているWindows向けのテキストエディター。コンパクトなプログラムサイズと実行速度を重視しており、エディターコンポーネント「Scintilla」をベースに、C++言語（STL）とWin32 APIだけで構築されているのが特徴だ。幅広いプログラミング言語をカバーしたコード補完とシンタックスハイライト（構文色分け）を備えるなど、「メモ帳」代替アプリとしての機能も充実している。対応OSはWindows 8.1/10/11で、ライセンスは「GPL 3.0」。