中国関連ハッカーによるNotepad++アップデート改ざん事件を読み解く｜ターゲットと実態

2026年2月、オープンソースの人気テキストエディタ Notepad++ の更新機能がハッカーによって長期間にわたり乗っ取られ、悪意あるソフトウェアが配信されていた可能性が明らかになりました。

開発者の公式発表によれば、この攻撃は 中国系の国家支援グループによるサプライチェーン攻撃 とみられ、特定の企業や組織のネットワークに初期アクセスを提供した可能性が指摘されています。

本記事では、事件の概要、仕組み、対象、サイバー攻撃のリスク、そして今後の防御策まで、専門用語を噛みくだいて解説します。

Notepad++ ハッキング事件とは？

Notepad++ は世界中の開発者や愛好家に使われる定番のテキスト／コード編集ソフトです。Windows で無料かつ軽量で動作し、プラグインを含む多用途性から長年の人気を誇っています。

2025年6月から12月初旬まで、Notepad++ の 公式アップデートが供給網攻撃（サプライチェーン攻撃） の対象となり、一部ユーザーの更新要求が攻撃者側の偽のサーバーへ「選択的にリダイレクト（転送）」されていたことが開発者の公式発表で明らかになりました。

この攻撃は単純なウイルス添付型ではなく、ソフトウェアの更新インフラ自体を侵害することで、被害者が自分の意思で更新したと勘違いするタイミングで悪意あるソフトウェアをインストールさせる極めて巧妙なものでした。

どうやって攻撃は行われたのか？

攻撃者は Notepad++ の更新用インフラをホスティングするプロバイダのサーバーを侵害し、正規の更新を求めるトラフィックを盗み見て転送先を変更する手法を使いました。これは「DNS の改竄」とか「サーバー侵害」といったものではなく、サプライチェーン全体の弱点を突く攻撃と呼ばれるものです。

具体的には、更新要求を受け取った際の処理が十分に安全検証されていなかったため、攻撃者は 偽の更新マニフェスト（何をダウンロードするかを示す仕組み） を送り、被害者に悪意あるインストーラを埋め込んだバージョンを受け取らせました。

このような攻撃は「サプライチェーン攻撃（Supply Chain Attack）」と呼ばれ、ソフトウェアの更新機能やライブラリ管理機能といった 信頼されているパートに侵入されると、利用者全体の安全が一気に破られる危険性をはらんでいます。

誰が狙われたのか？対象は？

攻撃は無差別に全世界の Notepad++ 利用者を狙ったものではなく、特定の組織やユーザーをターゲットにしたものである可能性が高いと複数のセキュリティ研究者が報告しています。

セキュリティ専門家の Kevin Beaumont 氏の調査では、攻撃を受けたとみられる組織は 東アジア地域の通信や金融サービス関連などで、特定の業種や事業目的を持つ組織を標的とした「精密誘導型」攻撃だったと示唆されています。

この点が重要で、広く一般ユーザーの PC にウイルスのように拡散したわけではなく、むしろ 重要なデータや通信インフラを抱える組織が狙われていた可能性があるということです。

中国系攻撃者と国家支援説

複数のセキュリティメディアや研究機関は、この攻撃を 中国系とされる国家支援グループ（Violet Typhoon / Lotus Blossom といった名義で追跡される集団） に結びつけています。

これらのハッカー集団はこれまでも

• 政府機関

• 通信企業

• 航空・重要インフラ

• メディア関連
  などをターゲットにしたサイバースパイ活動で知られており、標的型の継続的な侵入活動を行っていると監視機関に評価されています。

中国側は公式にこうした攻撃への関与を否定していますが、セキュリティ関係者は 標的選択、侵害期間、技術的な巧妙性から国家支援の可能性を示唆しています。

どんなマルウェアが仕込まれたのか？

攻撃者が送り込んだとみられるマルウェアは、更新の流れに紛れてユーザーの環境に侵入し、リモートからのコマンド実行やネットワーク内での偵察活動に利用されうるバックドア型のモジュールでした。

具体的にどのようなものが動作したかについてはまだ調査中ですが、いったんバックドアがインストールされると、侵害された環境は

• 内部データの窃取

• キーボード入力の監視

• 追加ツールのダウンロード
  など複数の攻撃段階へ展開可能です。

この種の攻撃は単に「ウイルスが混入した」というより、狙われた組織のネットワークへ侵入するための足がかりとして使われる可能性が高く、標的の重要性を示しています。

セキュリティ界が学んだこと

今回の事件を受けて、Notepad++ の開発チームはアップデート検証プロセスを強化し、更新サーバーの証明書と署名の検証を必須化する改修を実施しました。また、ホスティングプロバイダの変更も行い、同様の侵害が再発しないような体制が整えられています。

専門家は、こうした供給網攻撃が増加している現状について、「オープンソースコミュニティや企業は、コードだけでなく更新プロセスそのものの安全性を確保すべきだ」と警鐘を鳴らしています。

まとめ：国家レベルの攻撃が“日常のツール”にも及ぶ時代

Notepad++ の事件は、身近なアプリでもアップデートという最も信頼されている機能が攻撃に使われる可能性があることを示しました。

オープンソースだから安全、というのは過去の話です。
供給網全体の信頼性を確保しなければ、どんなアプリであっても、国家レベルの攻撃者による侵害の危険があることを、私たちは改めて理解する必要があります。

参考にした主な情報（リンク付き）

• Notepad++ says Chinese government hackers hijacked its software updates for months

• Popular open-source coding application targeted in Chinese-linked supply-chain attack

• Notepad++ Supply Chain Hack Conducted by China via Hosting Provider

• How state-sponsored attackers hijacked Notepad++ updates

• Notepad++ update feature hijacked by Chinese state hackers for months

• State-sponsored hackers behind Notepad++ compromise