Notepad++ アップデータ侵害：何が起こったのか、ユーザーは何をすべきか

広く使用されているWindows用テキストエディタ「Notepad++」は、アップデート基盤が数ヶ月にわたって侵害され、攻撃者が一部のユーザーを悪意のあるアップデートに誘導できる状態にあったと警告しました。Ars Technicaによると、この侵害は2025年6月に始まり、制御が完全に回復したのは12月まででした。

これは典型的なサプライチェーンのパターンです。攻撃者は各被害者を直接攻撃するのではなく、更新パスをターゲットにして、ソフトウェア自体が配信手段となるのです。

攻撃の様子

Arsによると、攻撃者は「インフラストラクチャレベル」の制御を獲得し、Notepad++ドメイン宛ての更新トラフィックを傍受してリダイレクトすることができました。すべてのユーザーが攻撃を受けるのではなく、リダイレクトは選択的であり、関心のあるターゲットを狙っていました。

この選択性は重要な手がかりです。これは、攻撃者が特定の被害者を狙っていたか、感染量を低く抑えることで検知を逃れようとしていたことを示唆しています。

なぜアップデーターはそれほど価値の高いターゲットなのか

自動更新メカニズムは、次の 3 つの危険なことを行うように設計されています。

インターネットからコードを取得する
ディスクに書き込む
実行する

まさにそれがマルウェアの狙いです。「アップデート」と「感染」の間にあるのは検証だけです。

アップデーターの場合:

強力な TLS を一貫して使用していない
署名を正しく検証しない
改ざん可能なマニフェストファイルを信頼する

…トラフィックを傍受またはリダイレクトするだけで、ペイロードをスワップできる可能性があります。

Notepad++ アップデータの詳細（および弱点）

Ars は、次のようなカスタムアップデータ (GUP / WinGUP) について説明しています:

Notepad++ URLにバージョンを報告します
XMLファイルから更新指示を取得します
インストーラを一時ディレクトリにダウンロードして実行する

多くのシステムの弱点は「マニフェスト」の段階にあります。マニフェストを置き換えたり変更したりできる場合、アップデータは任意のダウンロード場所を指すことができます。

ユーザーが使用すべきバージョン

Ars のレポートによると、開発者はユーザーに対し、バージョン 8.9.1 以降を実行していることを確認するよう促している。

このような事件の場合の経験則は次のとおりです。

公式サイトからの手動インストールを推奨
サードパーティの「ダウンロードミラー」や広告だらけの検索結果を避ける
予期しないタイミングで更新のプロンプトが表示された場合は疑わしいものとして扱う

曝露を評価する方法

標的型キャンペーンでは侵害の兆候が完璧に表れない可能性がありますが、不確実性を軽減することは可能です。

インストールしたバージョンを確認する現在のリリースと比較します。
インストーラの署名を確認するお持ちの Notepad++ バイナリ用です。
システムログを確認する更新時間付近での異常なプロセスの起動 (認識できないインストーラープロセス、異常なドメインへのネットワーク呼び出し)。
EDR/AVでスキャンインシデント対応者によって報告された既知のバックドアを検出できます。

組織の場合、次のことも合理的です。

アップデータコンポーネントがインターネットにアクセスするのを制限する
制御されたソフトウェア展開（MSI パッケージ、内部リポジトリ）を使用する

オープンソースへの依存について

Notepad++は無料で、頻繁に利用されているにもかかわらず、その重要性に比べて資金が不足していることが多い。このミスマッチは、脆弱なインフラストラクチャと、国家レベルの脅威モデルを想定して設計されていないカスタム更新システムとして現れている。

より広い意味での教訓は、「オープンソースを使わない」ということではありません。広く依存されているオープンソースプロジェクトには、以下のものが必要だということです。

最新の更新フレームワーク
セキュリティレビュー
インフラとインシデント対応のための資金

結論

Notepad++ を使用する場合は、更新チャネルが 2025 年に潜在的な攻撃対象領域であったと想定してください。最新バージョンを入手し、公式/手動インストールを優先し、アップデーターの整合性 (署名とマニフェスト) を実際のセキュリティ境界として扱ってください。

出典

Document Title
Notepad++ updater compromise: what happened and what users should do	Notepad++ アップデータ侵害：何が起こったのか、ユーザーは何をすべきか

Ars reports Notepad++ update infrastructure was compromised for months, selectively redirecting some users to malicious updates. Here’s how updater hijacks work, why signatures matter, and practical steps to check your risk.	Arsによると、Notepad++のアップデート基盤が数ヶ月間侵害され、一部のユーザーを悪意のあるアップデートに誘導していたとのことです。アップデータハイジャックの仕組み、シグネチャの重要性、そしてリスクをチェックするための実践的な手順をご紹介します。
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin	管理者によるすべての投稿を表示
Courts let US offshore wind construction resume: what the injunctions signal	裁判所が米国の洋上風力発電建設の再開を許可：差し止め命令が示唆するもの
Hair samples over a century show how regulations cut lead exposure	1世紀にわたる毛髪サンプルは、規制によって鉛への曝露がどのように削減されたかを示している
Page Content
Notepad++ updater compromise: what happened and what users should do	Notepad++ アップデータ侵害：何が起こったのか、ユーザーは何をすべきか
Nature
Climate
/
Technology
/ By
Admin
Notepad++—a widely used Windows text editor—warned that its update infrastructure was compromised for months, enabling attackers to selectively redirect some users to malicious updates. Ars Technica reports the compromise began in June 2025 and that control wasn’t fully restored until December.	広く使用されているWindows用テキストエディタ「Notepad++」は、アップデート基盤が数ヶ月にわたって侵害され、攻撃者が一部のユーザーを悪意のあるアップデートに誘導できる状態にあったと警告しました。Ars Technicaによると、この侵害は2025年6月に始まり、制御が完全に回復したのは12月まででした。
This is a classic supply-chain pattern: instead of exploiting each victim directly, attackers target the update path so the software itself becomes the delivery vehicle.	これは典型的なサプライチェーンのパターンです。攻撃者は各被害者を直接攻撃するのではなく、更新パスをターゲットにして、ソフトウェア自体が配信手段となるのです。
What the attack looked like
According to Ars, the attackers gained “infrastructure-level” control that let them intercept and redirect update traffic destined for the Notepad++ domain. Instead of every user being hit, the redirection was selective—aimed at targets of interest.	Arsによると、攻撃者は「インフラストラクチャレベル」の制御を獲得し、Notepad++ドメイン宛ての更新トラフィックを傍受してリダイレクトすることができました。すべてのユーザーが攻撃を受けるのではなく、リダイレクトは選択的であり、関心のあるターゲットを狙っていました。
That selectivity is an important clue. It suggests the attackers either had a specific victim set or were trying to avoid detection by keeping infection volume low.	この選択性は重要な手がかりです。これは、攻撃者が特定の被害者を狙っていたか、感染量を低く抑えることで検知を逃れようとしていたことを示唆しています。
Why updaters are such a high-value target	なぜアップデーターはそれほど価値の高いターゲットなのか
Auto-update mechanisms are designed to do three dangerous things:	自動更新メカニズムは、次の 3 つの危険なことを行うように設計されています。
Fetch code from the internet	インターネットからコードを取得する
Write it to disk
Execute it
That’s exactly what malware wants. The only thing standing between “update” and “infection” is verification.	まさにそれがマルウェアの狙いです。「アップデート」と「感染」の間にあるのは検証だけです。
If an updater:	アップデーターの場合:
Doesn’t use strong TLS consistently	強力な TLS を一貫して使用していない
Doesn’t verify signatures correctly	署名を正しく検証しない
Trusts a tamperable manifest file	改ざん可能なマニフェストファイルを信頼する
…then intercepting or redirecting traffic can be enough to swap the payload.	…トラフィックを傍受またはリダイレクトするだけで、ペイロードをスワップできる可能性があります。
The Notepad++ updater specifics (and the weak points)	Notepad++ アップデータの詳細（および弱点）
Ars describes a bespoke updater (GUP / WinGUP) that:	Ars は、次のようなカスタムアップデータ (GUP / WinGUP) について説明しています:
Reports its version to a Notepad++ URL	Notepad++ URLにバージョンを報告します
Retrieves update instructions from an XML file	XMLファイルから更新指示を取得します
Downloads an installer to a temp directory and runs it	インストーラを一時ディレクトリにダウンロードして実行する
The weak point in many systems is the “manifest” step. If the manifest can be replaced or altered, the updater can be pointed at any download location.	多くのシステムの弱点は「マニフェスト」の段階にあります。マニフェストを置き換えたり変更したりできる場合、アップデータは任意のダウンロード場所を指すことができます。
What versions users should be on	ユーザーが使用すべきバージョン
The Ars report notes developers urged users to ensure they are running version 8.9.1 or higher.	Ars のレポートによると、開発者はユーザーに対し、バージョン 8.9.1 以降を実行していることを確認するよう促している。
As a rule of thumb in incidents like this:	このような事件の場合の経験則は次のとおりです。
Prefer manual installation from the official site	公式サイトからの手動インストールを推奨
Avoid third-party “download mirrors” and ad-filled search results	サードパーティの「ダウンロードミラー」や広告だらけの検索結果を避ける
Treat unexpectedly timed update prompts as suspicious	予期しないタイミングで更新のプロンプトが表示された場合は疑わしいものとして扱う
How to assess your exposure
There may not be perfect indicators of compromise for a targeted campaign, but you can reduce uncertainty:	標的型キャンペーンでは侵害の兆候が完璧に表れない可能性がありますが、不確実性を軽減することは可能です。
Confirm your installed version	インストールしたバージョンを確認する
and compare it to current releases.	現在のリリースと比較します。
Verify the installer signature	インストーラの署名を確認する
for the Notepad++ binaries you have.	お持ちの Notepad++ バイナリ用です。
Review system logs	システムログを確認する
for unusual process launches around update times (installer processes you don’t recognize, network calls to unusual domains).	更新時間付近での異常なプロセスの起動 (認識できないインストーラープロセス、異常なドメインへのネットワーク呼び出し)。
Scan with EDR/AV
that can detect known backdoors reported by incident responders.	インシデント対応者によって報告された既知のバックドアを検出できます。
For organizations, it’s also reasonable to:	組織の場合、次のことも合理的です。
Restrict updater components from reaching the internet	アップデータコンポーネントがインターネットにアクセスするのを制限する
Use controlled software deployment (MSI packaging, internal repositories)	制御されたソフトウェア展開（MSI パッケージ、内部リポジトリ）を使用する
What this says about open-source dependencies	オープンソースへの依存について
Notepad++ is free, heavily used, and often underfunded relative to its importance. That mismatch shows up as brittle infrastructure and custom update systems that weren’t designed for nation-state-level threat models.	Notepad++は無料で、頻繁に利用されているにもかかわらず、その重要性に比べて資金が不足していることが多い。このミスマッチは、脆弱なインフラストラクチャと、国家レベルの脅威モデルを想定して設計されていないカスタム更新システムとして現れている。
The broader lesson is not “don’t use open source.” It’s that widely depended-on open-source projects need:	より広い意味での教訓は、「オープンソースを使わない」ということではありません。広く依存されているオープンソースプロジェクトには、以下のものが必要だということです。
Modern update frameworks	最新の更新フレームワーク
Security reviews
Funding for infrastructure and incident response	インフラとインシデント対応のための資金
Bottom line
If you use Notepad++, assume the update channel was a potential attack surface in 2025. Get to a current version, prefer official/manual installs, and treat updater integrity (signatures and manifests) as the real security boundary.	Notepad++ を使用する場合は、更新チャネルが 2025 年に潜在的な攻撃対象領域であったと想定してください。最新バージョンを入手し、公式/手動インストールを優先し、アップデーターの整合性 (署名とマニフェスト) を実際のセキュリティ境界として扱ってください。
Sources
https://arstechnica.com/security/2026/02/notepad-updater-was-compromised-for-6-months-in-supply-chain-attack/	https://arstechnica.com/security/2026/02/notepad-updater-was-compromised-for-6-months-in-supply-chain-attack/
https://notepad-plus-plus.org/news/hijacked-incident-info-update/	https://notepad-plus-plus.org/news/hijacked-incident-info-update/
←
Previous Post
Next Post
→
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin	管理者によるすべての投稿を表示
Courts let US offshore wind construction resume: what the injunctions signal	裁判所が米国の洋上風力発電建設の再開を許可：差し止め命令が示唆するもの
Hair samples over a century show how regulations cut lead exposure	1世紀にわたる毛髪サンプルは、規制によって鉛への曝露がどのように削減されたかを示している
Ars reports Notepad++ update infrastructure was compromised for months, selectively redirecting some users to malicious updates. Here’s how updater hijacks work, why signatures matter, and practical steps to check your risk.	Arsによると、Notepad++のアップデート基盤が数ヶ月間侵害され、一部のユーザーを悪意のあるアップデートに誘導していたとのことです。アップデータハイジャックの仕組み、シグネチャの重要性、そしてリスクをチェックするための実践的な手順をご紹介します。

Document Title

Notepad++ updater compromise: what happened and what users should do

Ars reports Notepad++ update infrastructure was compromised for months, selectively redirecting some users to malicious updates. Here’s how updater hijacks work, why signatures matter, and practical steps to check your risk.

Title Attribute

oEmbed (JSON)

oEmbed (XML)

JSON

View all posts by Admin

Courts let US offshore wind construction resume: what the injunctions signal

Hair samples over a century show how regulations cut lead exposure

Page Content

Notepad++ updater compromise: what happened and what users should do

Nature

Climate

Technology

/ By

Admin

Notepad++—a widely used Windows text editor—warned that its update infrastructure was compromised for months, enabling attackers to selectively redirect some users to malicious updates. Ars Technica reports the compromise began in June 2025 and that control wasn’t fully restored until December.

This is a classic supply-chain pattern: instead of exploiting each victim directly, attackers target the update path so the software itself becomes the delivery vehicle.

What the attack looked like

According to Ars, the attackers gained “infrastructure-level” control that let them intercept and redirect update traffic destined for the Notepad++ domain. Instead of every user being hit, the redirection was selective—aimed at targets of interest.

That selectivity is an important clue. It suggests the attackers either had a specific victim set or were trying to avoid detection by keeping infection volume low.

Why updaters are such a high-value target

Auto-update mechanisms are designed to do three dangerous things:

Fetch code from the internet

Write it to disk

Execute it

That’s exactly what malware wants. The only thing standing between “update” and “infection” is verification.

If an updater:

Doesn’t use strong TLS consistently

Doesn’t verify signatures correctly

Trusts a tamperable manifest file

…then intercepting or redirecting traffic can be enough to swap the payload.

The Notepad++ updater specifics (and the weak points)

Ars describes a bespoke updater (GUP / WinGUP) that:

Reports its version to a Notepad++ URL

Retrieves update instructions from an XML file

Downloads an installer to a temp directory and runs it

The weak point in many systems is the “manifest” step. If the manifest can be replaced or altered, the updater can be pointed at any download location.

What versions users should be on

The Ars report notes developers urged users to ensure they are running version 8.9.1 or higher.

As a rule of thumb in incidents like this:

Prefer manual installation from the official site

Avoid third-party “download mirrors” and ad-filled search results

Treat unexpectedly timed update prompts as suspicious

How to assess your exposure

There may not be perfect indicators of compromise for a targeted campaign, but you can reduce uncertainty:

Confirm your installed version

and compare it to current releases.

Verify the installer signature

for the Notepad++ binaries you have.

Review system logs

for unusual process launches around update times (installer processes you don’t recognize, network calls to unusual domains).

Scan with EDR/AV

that can detect known backdoors reported by incident responders.

For organizations, it’s also reasonable to:

Restrict updater components from reaching the internet

Use controlled software deployment (MSI packaging, internal repositories)

What this says about open-source dependencies

Notepad++ is free, heavily used, and often underfunded relative to its importance. That mismatch shows up as brittle infrastructure and custom update systems that weren’t designed for nation-state-level threat models.

The broader lesson is not “don’t use open source.” It’s that widely depended-on open-source projects need:

Modern update frameworks

Security reviews

Funding for infrastructure and incident response

Bottom line

If you use Notepad++, assume the update channel was a potential attack surface in 2025. Get to a current version, prefer official/manual installs, and treat updater integrity (signatures and manifests) as the real security boundary.

Sources

https://arstechnica.com/security/2026/02/notepad-updater-was-compromised-for-6-months-in-supply-chain-attack/

https://notepad-plus-plus.org/news/hijacked-incident-info-update/

←

→

oEmbed (JSON)

oEmbed (XML)

JSON

View all posts by Admin

Courts let US offshore wind construction resume: what the injunctions signal

Hair samples over a century show how regulations cut lead exposure

Document Title
Page not found - Florin.blog	ページが見つかりません - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog	ページが見つかりません - Florin.blog
Skip to content
Home
Blog
Garden Decor	ガーデンデコレーション
Indoor
Main Menu
This page doesn't seem to exist.	このページは存在しないようです。
It looks like the link pointing here was faulty. Maybe try searching?	ここへのリンクに問題があるようです。検索してみてください
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.	Amazonアソシエイトとして、当社は対象となる購入から報酬を得ています。お客様に追加料金はかかりません
Florin.blog
Florin.blog » Feed
RSD
Search...

Document Title

Page not found - Florin.blog

Image Alt

Florin.blog

Title Attribute

Florin.blog » Feed

RSD

Placeholder Attribute

Search...

Page Content

Page not found - Florin.blog

Home

Blog

Garden Decor

Indoor

Main Menu

This page doesn't seem to exist.

It looks like the link pointing here was faulty. Maybe try searching?

Search for:

Quick Links

Outdoors

About

Contact

Explore

Bestsellers

Hot deals

Best of The Year

Featured

Gift Cards

Help

Disclaimer

: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.

Florin.blog

Florin.blog » Feed

RSD

Search...