Notepad++ハッキング事件が示すオープンソースの新たな脅威

数千万人が愛用するテキストエディタNotepad++が、6ヶ月間にわたって中国系ハッカーに乗っ取られていた。この事実が明らかになったのは、開発者のDon Ho氏が2026年2月に公開したブログ投稿だった。

何が起きたのか

2025年6月から12月まで、ハッカーたちはNotepad++の公式サーバーに侵入し、一部のユーザーに悪意のあるアップデートを配信していた。攻撃者は共有ホスティングサーバーの脆弱性を悪用してNotepad++のウェブドメインを標的とし、アップデートを求めるユーザーを悪意のあるサーバーにリダイレクトしていたのだ。

セキュリティ研究者のKevin Beaumont氏によると、この攻撃により「東アジアに関心を持つ」少数の組織が侵害され、ハッカーは被害者のコンピューターに「直接的な」アクセスを獲得していた。脆弱性は11月に修正され、ハッカーのアクセスは12月初旬に遮断されたが、その間の被害の全容は明らかになっていない。

日本企業への警鐘

この事件は、日本企業にとって特に重要な意味を持つ。Notepad++は世界中の企業で広く使用されており、日本のソフトウェア開発現場でも愛用者が多い。無料で信頼できると思われていたツールが、実は6ヶ月間も攻撃者の手中にあったという事実は、企業のセキュリティ戦略の見直しを迫るものだ。

特に注目すべきは、攻撃者が「東アジアに関心を持つ組織」を選別的に標的としていた点である。これは日本企業、特に中国市場に進出しているトヨタ、ソニー、任天堂などの大手企業にとって、地政学的リスクの新たな側面を示している。

オープンソースの信頼性問題

この攻撃は、2019年のSolarWinds事件を彷彿とさせる。SolarWindsでは、ロシア政府系ハッカーが企業のサーバーに侵入し、ソフトウェアにバックドアを仕込んで米国政府機関を含む顧客のネットワークにアクセスしていた。

Notepad++事件との違いは、攻撃対象がオープンソースプロジェクトだったことだ。20年以上の歴史を持つこのプロジェクトは、透明性と信頼性の象徴とされてきた。しかし、今回の事件は「オープンソース＝安全」という前提を根本から問い直すきっかけとなっている。

日本の多くの企業は、コスト削減と柔軟性を求めてオープンソースソフトウェアの採用を進めている。しかし、個人開発者や小規模チームが運営するプロジェクトには、大企業のような潤沢なセキュリティリソースがない。この現実を踏まえた新たなリスク管理が求められている。