6ヶ月間検知されなかった更新インフラの乗っ取り

2025年6月から12月にかけて、世界中の開発者に愛用されるテキストエディタNotepad++の更新インフラが、中国系APT(Advanced Persistent Threat)グループ「Lotus Blossom」によって密かに侵害されていた。攻撃者は共有ホスティングサーバーを足がかりに、正規のアップデート配信経路をハイジャックし、選択的にトロイの木馬化されたインストーラを配布していた。2026年2月2日の公式開示により、この事件はOSSサプライチェーン攻撃の新たな転換点として注目を集めている。

本稿では、攻撃の全容、使用されたマルウェア群、Lotus Blossomの戦術的特徴、そして開発者ツールのサプライチェーンが抱える構造的脆弱性を分析する。

攻撃の全タイムラインと技術的手法

攻撃は複数のフェーズで進行した。まず2025年6月、攻撃者はNotepad++のWebサイトをホストする共有ホスティングサーバーへの侵入に成功した。ここで重要なのは、Notepad++のソースコード自体が改竄されたわけではない点である。攻撃者はホスティングレベルでトラフィックをインターセプトし、特定条件を満たすユーザーの更新リクエストのみを悪意あるサーバーへリダイレクトした。

技術的な根本原因は、Notepad++が使用していた自動更新ツールWinGUp(バージョン8.8.8以前)にあった。WinGUpはHTTPS接続の確立は検証していたものの、ダウンロードしたインストーラの電子署名検証を行っていなかった。この設計上の欠陥が、攻撃者による未署名の悪意あるインストーラの配信を可能にした。

攻撃者は6月から9月にかけて能動的に更新トラフィックを操作した後、ホスティング事業者が9月にインフラの制御を取り戻した。しかし攻撃者は内部サービスの認証情報を窃取済みであり、12月2日まで持続的なアクセスを維持していた。つまり、初期侵害の封じ込め後もなお約3ヶ月間、攻撃者はインフラ内に潜伏していたことになる。

3つの感染チェーンとChrysalisバックドア

Kaspersky社およびRapid7社の分析によると、攻撃期間中に3つの異なる感染チェーンが段階的に展開された。各チェーンはC2(Command and Control)サーバーとともに約1ヶ月ごとにローテーションされており、検知回避への周到な配慮が伺える。

第1チェーン(7〜8月)は、NSISインストーラ経由でシステム情報を収集し、Metasploitダウンローダを通じてCobalt Strike Beaconを配信するものであった。データの窃取にはtemp.shサービスが利用された。第2チェーン(9〜10月)は、正規のスクリプトインタープリタ(script.exe)とAdobe関連ディレクトリに配置された悪意あるLuaファイルを組み合わせる「Living-off-the-Land」手法に移行した。

最も注目すべきは第3チェーン(10月以降)で展開された、これまで未知のChrysalis(クリサリス)バックドアである。BluetoothService.exeを利用したDLLサイドローディングで実行され、FNV-1aベースのカスタムAPIハッシュ、多層シェルコード復号、MicrosoftのWarbird保護フレームワークの悪用など、高度な難読化が施されていた。C2ドメイン(api.skycloudcenter.com)はDeepSeek APIのエンドポイントを模倣し、正規トラフィックへの偽装を図っていた。16以上のコマンドを備え、対話型シェル、リモートファイル操作、プロセス制御、自己消去などの機能を持つ本格的なバックドアである。

選択的標的化という新たなパターン

本攻撃を過去のサプライチェーン攻撃と決定的に区別する要素が、選択的標的化(Selective Targeting)である。SolarWinds事件(2020年)が約18,000組織に影響し、XZ Utils事件(2024年)がLinuxシステム全体を脅かしたのに対し、Notepad++攻撃で確認された感染端末は約12台にとどまる。

被害が確認された地域はベトナム、エルサルバドル、オーストラリア、フィリピンであり、標的にはフィリピンの政府機関、エルサルバドルの金融サービス企業、ベトナムのITサービスプロバイダなどが含まれていた。この地理的パターンは、Lotus Blossomが従来から活動の重点を置く東南アジア地域と一致する。大規模な無差別配信を避けることで検知リスクを最小化し、情報収集価値の高いターゲットのみを精密に狙う手法は、国家支援型APTの戦術的成熟を示している。

Lotus Blossomの脅威プロファイルとC2ローテーション

Lotus Blossom(別名: Spring Dragon、Billbug、Thrip)は、少なくとも2009年から活動が確認されている中国系国家支援APTグループであり、MITRE ATT&CKではG0030として追跡されている。主な任務は東南アジア各国の政府機関・重要インフラに対するサイバー諜報活動である。

同グループの主要ツールには、クラウドサービス(Dropbox、Twitter、Zimbraウェブメール)をC2トンネルとして利用するSagerunexバックドアが知られていたが、今回のChrysalisの発見により、ツールキットの継続的な進化が確認された。Rapid7によるアトリビューション(帰属分析)は中程度の確信度で行われており、DLLサイドローディング手法の類似性、Cobalt Strike Beaconの設定パターン、標的選定の地理的整合性が根拠として挙げられている。

C2インフラの運用面では、Lotus Blossomはドメインフロンティング(Fastly、Cloudflare等のCDNを経由して正規トラフィックに偽装する手法)を得意とすることが知られている。今回の攻撃でも月次のC2ローテーション、RC4暗号化によるHTTPS通信、正規サービスを介したデータ窃取など、検知回避のための多層的な対策が講じられていた。

開発者ツールのサプライチェーンが抱える構造的課題

Notepad++事件は、OSS配信インフラの構造的脆弱性を浮き彫りにした。多くのOSSプロジェクトは共有ホスティングのセキュリティをホスティング事業者に委ねており、インフラレベルの監視体制が不十分な場合が多い。更新マニフェスト(メタデータ)への電子署名が未実施のプロジェクトも少なくない。

Notepad++は事件を受けてバージョン8.8.9でXMLDSigによるインストーラ署名検証を実装し、バージョン8.8.8以降は更新ソースをGitHubに一本化することで第三者ホスティングのリスクを排除した。また新しいホスティング事業者への移行も完了している。

しかし根本的な問題は、個別プロジェクトの対応だけでは解決しない。SolarWinds(ビルド環境侵害)、Codecov(CI/CDスクリプト改竄)、3CX(依存ライブラリの汚染)、XZ Utils(メンテナアカウント侵害)、そして今回のNotepad++(ホスティングインフラ侵害)と、攻撃サーフェスは拡大の一途をたどっている。コード署名の徹底更新チャネルの信頼性検証ホスティング事業者との明確なセキュリティ責任分界など、エコシステム全体での防御強化が急務である。

FAQ

Notepad++を使用していた場合、自分のPCは感染しているのか?

感染が確認されたのは約12台と非常に限定的で、標的は主に東南アジア・中南米の政府機関や金融機関であった。ただし念のためNotepad++ 8.8.9以降へのアップデートと、セキュリティソフトによるフルスキャンを推奨する。IOC(侵害指標)はKaspersky社のレポートで公開されている。

Lotus Blossomとはどのような攻撃グループなのか?

2009年頃から活動が確認されている中国系国家支援APTグループで、Spring Dragon、Billbug、Thripとも呼ばれる。主に東南アジアの政府機関を標的としたサイバー諜報活動を行い、DLLサイドローディングやドメインフロンティングなどの高度な手法を用いることで知られる。

なぜ6ヶ月間も攻撃が検知されなかったのか?

攻撃者が感染対象を約12台に絞る選択的標的化を採用したこと、C2サーバーを月次でローテーションしたこと、正規の更新インフラを経由したことが主な理由である。大規模感染を伴わないため、セキュリティコミュニティへの露出が極めて少なかった。

OSSのアップデート機能を安全に利用するにはどうすればよいか?

インストーラの電子署名を確認すること、公式リポジトリ(GitHub等)からの直接ダウンロードを優先すること、更新時の異常な挙動(未知のプロセス起動等)を監視することが重要である。組織レベルではSBOM管理とソフトウェア構成分析ツールの導入が推奨される。

参考文献