オープンソースのテキスト/コードエディタ「Notepad++」において、アップデータ(WinGUp)の挙動を悪用され、正規の更新処理がマルウェア配布に利用されるおそれがある脆弱性(CVE-2023-40031) が確認されました。
開発元はこの問題を修正した Notepad++ v8.8.9 を公開しており、ユーザーに早急な更新を呼びかけています。
一部の組織では、すでにアップデータの通信が乗っ取られ、改ざんされた実行ファイルが配布された事例も報告されています。
なお、v8.8.8 の自動アップデート機能は v8.8.9 を検出しないため、必ず 公式サイトからインストーラをダウンロードし、手動で更新 してください。また手動アップデートの為、社内での定期的なアップデート通知と実際のアップデート確認が必要になります。
関連:Notepad++の更新機能乗っ取りは中国系APTグループのサイバー攻撃 キャンペーンか
目次
脆弱性の対象バージョン
今回の脆弱性(CVE-2023-40031)は、Notepad++に同梱されているWinGUpアップデータを使用している
v8.8.8以前の全てのバージョン が影響を受けるとみられます。
とくに v8.8.7以前 は自己署名証明書を利用していたため、不正なバイナリを「それらしく」見せかけやすく、更新プロセスの乗っ取りに対して防御が弱い状態でした。
対策バージョン(修正済みバージョン)
本問題に対して公式に修正が行われたのは Notepad++ v8.8.9 です。
v8.8.7では正規CAの証明書への移行、v8.8.8ではダウンロード元をGitHubに限定するなど段階的な強化が行われましたが、ダウンロードファイルの署名と証明書を厳格に検証し、失敗した場合はアップデートを中断する仕組みが実装されたのは v8.8.9 から となります。そのため、実務的な「対策版」としては v8.8.9 以降への更新が推奨されます。
v8.8.7〜v8.8.9で行われた主な対策
開発元は、今回の問題を受けて段階的にセキュリティを強化しています。
v8.8.7:正規認証局のコードサイン証明書へ移行
-
自己署名証明書をやめ、GlobalSignの正規コードサイニング証明書 に移行しました。
-
これにより、攻撃者がソースコードに含まれている自己署名証明書を悪用して「それらしい署名付きバイナリ」を作るハードルが上がりました。
v8.8.8:ダウンロード元をGitHubに限定
-
WinGUpアップデータの ダウンロード先を github.com に限定。
-
攻撃者が任意のホスト名を指定してマルウェアを配布するリスクを下げています。
-
ただし、この時点では「ダウンロードしてきたファイルの署名検証」が十分ではなく、完全な対策には至っていません。
v8.8.9:署名検証の厳格化で決定版の修正
-
ダウンロードしたインストーラの デジタル署名と証明書を厳格に検証。
-
検証に失敗した場合は、アップデート処理を中断するように変更されています。
-
この結果、たとえ通信経路が乗っ取られていても、正規の署名がない不正バイナリは弾かれる構造に近づきました。
なお、現時点では v8.8.8 の自動アップデート機能は v8.8.9 を検出できず、最新版への更新は公式サイトからの手動ダウンロードが必要と案内されています。
すでに悪用された可能性と IOC(侵害の痕跡)
セキュリティ研究者の分析では、実際に以下のような挙動が確認されています。
-
gup.exe(Notepad++のアップデータ)が、本来アクセスするはずの-
notepad-plus-plus.org -
github.com -
release-assets.githubusercontent.com
以外のURLに接続していた。
-
-
%TEMP%フォルダ内に-
update.exe -
AutoUpdater.exe
といったファイルが作成され、gup.exeから実行されていた。
(Notepad++公式のアップデータはこれらのファイル名を使用していません。)
-
こうした痕跡がある場合、更新処理にマルウェアが紛れ込んだ可能性が高い として注意喚起されています。
利用者が直ちに取るべき対策
1. Notepad++を v8.8.9 以降に更新する
-
すべてのユーザーは、少なくとも v8.8.9 へのアップデート を強く推奨します。
-
v8.8.8 の自動アップデート機能は v8.8.9 を検出しないため、
必ず 公式サイトからインストーラをダウンロードし、手動で更新 してください。 -
ダウンロードの際は、検索結果の広告リンクや類似ドメインではなく、必ず正規URLからアクセスするよう注意が必要です。
2. 過去にアップデートを実行した端末のチェック
-
とくに v8.8.7以前からアップデートを繰り返し行っていた環境 では、
-
信頼できるセキュリティソフトでフルスキャンを実施する
-
%TEMP%フォルダ内に、不審なupdate.exeやAutoUpdater.exeが残っていないか確認する
-
-
不審なプロセスやファイルが見つかった場合、被害状況によっては OSの再インストール(クリーンインストール) が最も確実な復旧手段となる場合もあります。
3. アップデート時の署名・警告表示を確認する習慣
-
インストーラ実行時に「発行元が不明(Unknown Publisher)」などの警告が表示された場合は、
反射的に「はい」を押さず、一度立ち止まって確認することが重要です。 -
今回のように、「正規ソフトの更新」を装った攻撃 は今後も増えると予想されるため、
アップデート=安全、とは考えずに署名や配布元を確認する意識づけが求められます。
まとめ:アップデート経路も攻撃対象になる
今回のNotepad++の事例は、
「正規ソフトのアップデート機能そのもの」が攻撃の入口になり得る
ことを改めて示したインシデントです。
-
アップデータの通信経路
-
ダウンロード先の検証不足
-
自己署名証明書の扱い
といった要素が重なった結果、ユーザーから見ると「普通にアップデートしただけ」のつもりでも、裏側ではマルウェアが入り込む余地がありました。
開発元は v8.8.9 で対策を講じていますが、v8.8.8以前を使い続ける限りリスクは残り続けます。Notepad++を利用中の方は、できるだけ早く v8.8.9 以降へ更新し、自身の環境に怪しい痕跡がないかあわせて確認することを強くおすすめいたします。
一部参照








