これはIT部門にとって訓練ではありません。現実の脅威シナリオです。世界中の開発者やシステム管理者にとって不可欠なツールであるNotepad++を標的とした、巧妙なサプライチェーン攻撃が確認されました。攻撃者は正規のアップデートまたは配布チャネルを侵害することで、悪意のあるペイロードを信頼性の高い環境に直接送り込み、従来の境界セキュリティやファイアウォールを効果的に迂回しています。

この攻撃は、私たちが日常的に使用するツールに置く信頼を悪用するため、特に危険です。侵害されたバージョンがインストールされると、単にそこに留まるだけでなく、「リビング・オフ・ザ・ランド」戦略を開始し、一般的なシステムディレクトリに悪意のあるコンポーネントを投下して永続性を維持し、検出を回避します。

侵害の特定：侵害の痕跡（IoC）

フォレンジック分析により、このマルウェアが隠れる特定のパスが明らかになりました。ITまたはセキュリティ運用チームのメンバーである場合は、以下のファイル構造についてエンドポイントを直ちに監査する必要があります。

1. ProShowベクター： %appdata%\ProShow\ を確認してください。ProShow.exeの隣にloadという名前のファイルがある場合、システムが標的になっています。
2. Adobeスクリプトハイジャック： 攻撃者は%appdata%\Adobe\Scripts\ を利用して、alien.ini、script.exe、lua5.1.dllなどの非標準ファイルを保存しています。
3. Bluetooth永続化： 隠されたサービスが%appdata%\Bluetooth\ に見つかることが多く、BluetoothService.exeとlog.dllとして現れます。
4. USOSharedの異常： ディレクトリ C:\ProgramData\USOShared は通常、Windows Updateのログ用に予約されています。ここにあるファイルで、.etlまたは.datではないもの（特に標準のLogsサブフォルダーの一部ではないもの）は、非常に疑わしいものとして扱う必要があります。

自動検出：PowerShell監査スクリプト

複数のワークステーションにわたる迅速なトリアージを支援するため、洗練されたPowerShellスクリプトを用意しました。このスクリプトは「ノイズ認識型」に設計されており、USOShared\Logsのような正規のシステムフォルダーを意図的に無視することで、チームが真の脅威のみに集中できるようにします。

PowerShell

# Notepad++ Supply Chain Attack - Advanced IoC Scanner

Write-Host "[!] Initiating Emergency Security Audit..." -ForegroundColor Cyan

$Findings = @()

$AppData = $env:APPDATA

# 1. Check specific AppData targets

$Targets = @(

"$AppData\ProShow\load",

"$AppData\Adobe\Scripts\alien.ini",

"$AppData\Adobe\Scripts\script.exe",

"$AppData\Adobe\Scripts\lua5.1.dll",

"$AppData\Bluetooth\BluetoothService.exe",

"$AppData\Bluetooth\log.dll"

)

foreach ($Path in $Targets) {

if (Test-Path $Path) { $Findings += "CRITICAL: Found $Path" }

}

# 2. Targeted USOShared Analysis (Filtering out false positives)

$UsoPath = "C:\ProgramData\USOShared"

if (Test-Path $UsoPath) {

# We only look for FILES, ignoring the 'Logs' subfolder and standard log extensions

$UsoFiles = Get-ChildItem -Path $UsoPath -File | Where-Object { $_.Extension -notmatch "\.(etl|dat)$" }

foreach ($File in $UsoFiles) { $Findings += "SUSPICIOUS: $($File.FullName)" }

}

# --- Results Reporting ---

if ($Findings.Count -gt 0) {

Write-Host "`n[!!!] BREACH INDICATORS DETECTED:" -ForegroundColor Red

$Findings | ForEach-Object { Write-Host " -> $_" -ForegroundColor Yellow }

} else {

Write-Host "`n[+] No known Notepad++ IoCs detected. System appears secure." -ForegroundColor Green

}

反応するのをやめ、Moniticで解決を始めましょう

手動スクリプトは迅速な確認には優れていますが、現代のエンタープライズを管理するには、より堅牢なアプローチが必要です。検出は戦いの半分に過ぎません。真の勝利は一元化された修復にあります。ここでMoniticのApp Update機能があなたの最も貴重な資産となります。何百ものデバイスで影を追いかける代わりに、Moniticは以下のことを可能にします。

1. 即時インベントリ： ネットワーク全体で実行されているNotepad++のすべてのバージョンを瞬時に確認できます。
2. 脆弱性マッピング： 手動での作業なしに、侵害されたバージョンまたは古いバージョンのNotepad++を実行しているデバイスを特定します。
3. ワンクリック修復： 最新の安全なNotepad++バージョンをすべてのエンドポイントに同時にプッシュします。

Moniticを使用することで、攻撃者にとっての機会の窓を閉じることができます。単なるテキストエディタがサーバー室への入り口とならないようにしてください。Moniticダッシュボードにログインし、App Updatesに移動して、今すぐ環境を保護しましょう。