テキストエディター「Notepad++」v8.9.2が公開 ～“ダブルロック”の自動更新で安全に

「Notepad++」v8.9.2

　テキストエディター「Notepad++」が2月16日、v8.9.2へとアップデートされた。2025年12月に発覚したセキュリティインシデントを受け、自動アップデート機能に“ダブルロック”のセキュリティ機構が導入されている。

　このセキュリティインシデントは、「Notepad++」アプリで用いられている自動アップデートツール「WinGUp」でトラフィック（通信）がハイジャックされ、偽の実行ファイルがダウンロードされてしまったというもの。きっかけは国家に支援されたハッカーによって「Notepad++」プロジェクトのある共有ホスティングサーバーが攻撃を受けたことで、「Notepad++」や「WinGUp」が直接乗っ取られたわけではなかった。

セキュリティインシデントの概要

　しかし、「Notepad++」アプリ側にもいくつか問題があることが浮き彫りになったのも事実だ。アップデートファイルをダウンロードして適用する際、それが第三者に改竄された不正なものでないかどうかを十分にチェックしていなかったのだ。

　そこで、セキュリティインシデントの発覚以降、改竄チェックのため2段階の署名・証明書検証が導入された。

• 「notepad-plus-plus.org」が返す、アップデート情報が記述されたXMLファイルの署名検証（今回のv8.9.2で実装）
• 「GitHub」からダウンロードされるインストーラーの署名検証（v8.8.9で実装済み）

　これにより、万が一アップデート処理のどこかがハッカーに乗っ取られてしまっても、いずれかのチェック処理で検知できるようになる。つまり、「Notepad++」アプリが不正なアップデートファイルを受け入れてしまうのを防止できるわけだ。

対策後のアップデートプロセス

　また、「WinGUp」でもいくつかのセキュリティ強化が実施された。

• 「libcurl.dll」への依存を廃止し、DLLサイドローディング攻撃（偽のDLLファイルを読み込ませる手法）のリスクを排除
• 危険なSSLオプションを2つ削除（CURLSSLOPT_ALLOW_BEAST、CURLSSLOPT_NO_REVOKE）
• プラグイン管理の実行を、同じ証明書で署名されたプログラムに限定。不正なプラグインを介した攻撃を防止

　「Notepad++」アプリの自動更新を信用できない場合はそれを無効化し、IT管理者側でMSIパッケージを展開することもできる。

　「Notepad++」は、海外のプログラマーを中心に幅広い支持を集めているWindows向けのテキストエディター。コンパクトなプログラムサイズと実行速度を重視しており、エディターコンポーネント「Scintilla」をベースに、C++言語（STL）とWin32 APIだけで構築されているのが特徴だ。幅広いプログラミング言語をカバーしたコード補完とシンタックスハイライト（構文色分け）を備えるなど、「メモ帳」代替アプリとしての機能も充実している。対応OSはWindows 8.1/10/11で、ライセンスは「GPL 3.0」。