【重要】EmEditor インストーラーのダウンロード導線に関するセキュリティ インシデント(追加情報とまとめ)
平素より EmEditor をご利用いただき、誠にありがとうございます。
2025年12月25日にご案内した 第一報 にてご報告した一連のインシデントにつきまして、その後追加で判明した内容および問題点を整理のうえ、以下のとおりご報告いたします。
前回は注意点として「別件のインシデント」と記載しましたが、現時点では、同一の攻撃者による一連の攻撃であった可能性が高いと考えております。攻撃者は、セキュリティ ソフトウェアによる検出を回避する目的で、意図的に異なるデジタル署名や遷移先ドメインを複数用意し、多数の亜種(複数バージョン)を作成して攻撃していた可能性があります。
なお、同一攻撃者であることは推定であり、調査の進捗により今後更新される可能性があります。
既報の期間・ファイルに加え、ユーザーの皆様からのご報告および弊社調査により、新たに以下の期間・ファイルの存在が判明しました。
- 日本時間:2025年12月28日 04:38 ~ 2026年1月1日 10:06(JST, UTC+9)
- UTC:2025-12-27 19:38 ~ 2026-01-01 01:06
- ファイル名:
emed64_25.4.3.msi - サイズ:80,380,416 bytes
- デジタル署名(署名者/発行先):GRH PSYCHIC SERVICES LTD
- デジタル署名(発行者):Microsoft ID Verified CS EOC CA 02
- デジタル署名(有効期間):2025/12/29 ~ 2026/1/1
- SHA-256:ad84f28e9bb0fcaf30846b2563a353b649ab6dc85b36d4bf58ee61a2a95b740a
- VirusTotal の検出結果:
https://www.virustotal.com/gui/file/ad84f28e9bb0fcaf30846b2563a353b649ab6dc85b36d4bf58ee61a2a95b740a - 設置されていた場所:
https://jp.emeditor.com/wp-content/uploads/2025/10/emed64_25.4.3.msi(削除済み)
また、本ファイルを含め、既報以外にも異なる改ざんファイルが混入していた可能性を否定できません。したがって、後述の「影響が発生した可能性のある全期間」においてインストーラーをダウンロードされた場合は、ダウンロードしたファイルのデジタル署名の署名者が Emurasoft, Inc. であることをご確認ください。
本件により、お客様には多大なるご心配とご迷惑をお掛けしておりますことを、重ねて深くお詫び申し上げます。
以下に、現時点での判明事項を総合してご案内いたします。
1. 影響が発生した可能性のある全期間(安全側に広げた推定期間/念のため確認推奨)
- 日本時間:2025年12月20日 11:39 ~ 2026年1月2日 01:51(JST, UTC+9)
- UTC:2025-12-20 02:39 ~ 2026-01-01 16:51
上記期間中、EmEditor 公式サイト上の emed64_25.4.3.msi または emed64_25.4.4.msi へのリンク(ダウンロード ページまたはブログ ページ)、あるいは[今すぐダウンロード]ボタンのクリックによりインストーラーをダウンロードされた場合、弊社(Emurasoft, Inc.)が提供する正規ファイルではない別ファイルがダウンロードされた可能性があります。
※以前の告知では別件のインシデントとしてご案内していましたが、その後の調査により、改ざん手口が同一であること、同一攻撃者の可能性が高いこと、また両期間の間にも改ざんが継続していた可能性を否定できないことから、期間を統合して「確認推奨」に含めることとしました。なお、同一攻撃者であることは推定であり、調査の進捗により今後更新される可能性があります。
※開始時刻は、当該時点のバックアップに問題ファイルまたは改ざん痕跡が存在しなかったことに基づきます。終了時刻は、最後に発見されたインシデントにおいて問題ファイルを削除した時刻です。
※本告知は安全側に広げた推定であり、期間中ずっと連続して改ざんが行われていたことを意味するものではありません。
2. 事象の概要
EmEditor 公式サイトでは、EmEditor デスクトップ インストーラー最新版のダウンロード先として、次のいずれかの URL をリンクしていました。
- https://support.emeditor.com/ja/downloads/latest/installer/64
- https://download.emeditor.info/emed64_25.4.3.msi
- https://download.emeditor.info/emed64_25.4.4.msi
当該期間中、これらのリンクをクリックすると、第三者により以下の URL に遷移するよう改ざんされていました(現在はいずれも削除済みです)。
- https://jp.emeditor.com/wp-content/uploads/2025/10/emed64_25.4.3.msi(削除済み)
- https://jp.emeditor.com/wp-content/uploads/2025/10/emed64_25.4.4.msi(削除済み)
その結果、マルウェアを含む emed64_25.4.3.msi または emed64_25.4.4.msi がダウンロードされる事象が発生しました。
当該ファイルは弊社が作成したものではなく、現在は削除済みです。
また、当該ファイルには弊社の署名ではなく、WALSHAM INVESTMENTS LIMITED または GRH PSYCHIC SERVICES LTD のデジタル署名が付与されていることを確認しています。
3. 問題のない正規ファイル
以下は、問題のない正規ファイルの情報です。
| ファイル名とダウンロード先 | デジタル署名(署名者) | 有効期間 | SHA-256 |
|---|---|---|---|
| https://download.emeditor.info/emed64_25.4.3.msi | Emurasoft, Inc. | 2023/04/09~2026/04/09 | e5f9c1e9… |
| https://download.emeditor.info/emed64_25.4.4.msi | Emurasoft, Inc. | 2023/04/09~2026/04/09 | 09e88489… |
4. 影響が確認されているファイル
現時点で判明している問題ファイルは以下のとおりです。
| ファイル名 | デジタル署名(署名者) | 有効期間 | SHA-256 |
|---|---|---|---|
| emed64_25.4.3.msi | WALSHAM INVESTMENTS LIMITED | 2025/12/21~2025/12/24 | 4bea333d… |
| emed64_25.4.3.msi | WALSHAM INVESTMENTS LIMITED | 2025/12/20~2025/12/23 | 3d1763b0… |
| emed64_25.4.3.msi | GRH PSYCHIC SERVICES LTD | 2025/12/29~2026/1/1 | ad84f28e… |
| emed64_25.4.4.msi | GRH PSYCHIC SERVICES LTD | 2025/12/31~2026/1/3 | da59acc7… |
なお、これ以外のファイルであっても、デジタル署名の署名者が Emurasoft, Inc. と一致しない場合は問題がある可能性があります。
付与されていたデジタル署名の有効期間が数日間と非常に短い点が特徴です。
弊社では Microsoft に対し、問題ファイルを添付して本インシデントを報告し、当該デジタル署名の無効化を要請しました。
5. 影響を受けないケース
以下の場合は 本件の影響を受けません。
- EmEditor の 更新チェッカー から更新した場合、または EmEditor により自動更新が行われた場合(更新チェッカーは、デジタル署名の署名者が Emurasoft, Inc. と一致することを自動的に確認するため、問題は発生しません)
emed64_25.4.3.msiまたはemed64_25.4.4.msi以外のファイル- ポータブル版
- ストア アプリ版
- winget を利用してインストール/更新した場合
- 問題ファイルをダウンロードしていたとしても、当該ファイルを実行していない場合
6. 該当する可能性がある場合の確認方法とお願い
上記期間中に EmEditor 公式サイトからインストーラーを入手された可能性がある場合は、ダウンロードした emed64_25.4.3.msi または emed64_25.4.4.msi のデジタル署名をご確認ください。可能であれば、SHA-256 の一致確認も行うとより確実です。
6-1. デジタル署名の確認手順(Windows)
- 対象ファイル(
emed64_25.4.3.msiまたはemed64_25.4.4.msi)を右クリックし、[プロパティ]を開きます。 - [デジタル署名]タブを開きます。
- 署名者名(Signer/署名者)が Emurasoft, Inc. であることを確認してください。
※[デジタル署名]タブが表示されない場合、署名が付与されていない、または正しく認識できない可能性があります。その場合も当該ファイルは実行せず削除し、後述の対応をご検討ください。
※組織でご利用の場合は、削除や初期化の前に社内のセキュリティ部門へご相談のうえ、必要に応じてログ等の保全をご検討ください。
6-2. デジタル署名が一致しない場合(推奨対応)
デジタル署名が Emurasoft, Inc. ではなかった場合、改ざんされたファイル(マルウェアを含む可能性のあるファイル)を入手された恐れがあります。
- 直ちに当該コンピューターを ネットワークから切り離す(有線/無線の遮断)
- コンピューター全体の マルウェア スキャン を実施する
- 状況により、可能であれば OS を含む環境のリフレッシュ/再構築 をご検討ください
- 当該端末で利用・保存していた情報が漏えいしている可能性も考慮し、各種サービスの パスワード変更(必要に応じて多要素認証の有効化)をご検討ください
- 企業・組織でご利用の場合は、可能な範囲で社内のセキュリティ担当部門への連絡も推奨いたします
6-3. ダウンロードしたファイルを既に削除してしまった場合の対処方法
すでにダウンロードしたファイルを削除している場合でも、Windows の仕様により、インストール時に参照された MSI が C:\Windows\Installer 配下に別名で残っていることがあります。
このフォルダは隠しフォルダであり、かつ OS により保護されたフォルダでもあるため、ファイル エクスプローラー上で通常の操作だけでは見つけにくく、C:\Windows\Installer をパス指定して直接開く必要があります。
フォルダを開いた後は、次の手順を推奨いたします。なお、この際、MSI ファイルをダブルクリックしたり実行したりしないよう、十分ご注意ください。
- 日付順(更新日時など)で並べ替えを行う
- 比較的新しいファイルを中心に確認する
- 対象ファイルの デジタル署名 を確認する(右クリック → プロパティ → デジタル署名)
6-4. コンピューターがマルウェアに感染したかどうかを判別する方法
問題のファイルを実行した場合でも、次のような環境では必ずしも感染するとは限りません。
- 端末がオフラインであった場合
- VPN/プロキシ必須環境であった場合
- Windows の機能/ポリシーにより PowerShell の不審な挙動がブロックされた場合
- PowerShell の起動自体が制限されていた場合
- アンチウイルス/セキュリティ ソフトウェアによりブロックされた場合
次の条件に 1 つでも当てはまる場合、感染している可能性が高いと考えられます。
C:\ProgramData\tmp_mojo.logが存在するGoogle Drive Cachingという名前のタスクがスケジュールされている%LOCALAPPDATA%\Google Drive Caching\フォルダ内にbackground.vbsが存在する- Chrome、Microsoft Edge など Chromium ベースのブラウザに、
Google Drive Cachingという名前の拡張機能が存在する(たとえ Google 製を名乗っていても)。特に「すべてのウェブサイト上のデータの読み取りと変更」が可能で、さらにクリップボードにアクセスできる権限を持つ場合 - ネットワーク ログを調査した結果、次のいずれかに接続された形跡がある:
cachingdrive.com、emeditorde.com、emeditorgb.com、emeditorjp.com、emeditorsb.com、emeditorltd.com
上記のすべてに当てはまらない場合、リスクは低いと考えられますが、ゼロではありません。攻撃の一部はファイルに痕跡を残さず、メモリ上で実行される場合があるためです。
7. 確認されている挙動
VirusTotal の当時の検出結果により、emeditorjp.com、emeditorde.com、emeditorgb.com、emeditorsb.com、emeditorltd.com へのアクセスが確認されています。
これらのドメインは、弊社(Emurasoft, Inc.)が管理しているドメインではありません。インストーラーを実行したコンピューターがマルウェアに感染し、パスワード等の情報が窃取される可能性があります。発生時期および手口から、前回のインシデントと同様のマルウェアである可能性が高いと考えています。
詳細については、Luca Palermo 氏および Mario Ciccarelli 氏によりまとめられた研究レポートをご参照ください。本レポートは Luca Palermo 氏からご提供いただいたものであり、掲載許可もいただいております。この場を借りて、ご厚意に感謝申し上げます。
8. 問題の本質
残念ながら、ソフトウェア企業にとって、「正規インストーラーに酷似した悪意あるインストーラーの作成・流通そのもの」を完全に防ぐことは困難です。しかしながら、前回と同様、今回の本質的な問題は次の 2 点です。
- 弊社 Web サイトで利用していたダウンロード用リンクが、気付かないうちに改ざんされたこと
- 弊社 Web サイトに外部からアクセスされ、マルウェアを含む 問題ファイルが設置されたこと
これらが重なったことで、「公式サイトからダウンロードしたお客様が被害に遭われた」という事態を招きました。弊社として重い責任を感じており、「防げなかったのか」という反省も含め、今後の対策につなげてまいります。
詳細な経緯については、前回までの告知内容をご参照ください。
9. 原因(調査中)
WordPress は本体、プラグイン、テーマ等の複数の要素から構成され、多くの開発者により提供されています。これらには脆弱性が発見されることもあり、その都度更新が提供されます。
弊社では平素よりプラグインやテーマの更新を行っておりますが、脆弱性が発見されてから長期間にわたり開発者による更新が提供されない場合があり、その結果として脆弱性が残存してしまう可能性があります。今回の攻撃は、そのような脆弱性が狙われた可能性を否定できません。さらに、使用していた SFTP アカウントが攻撃対象となった可能性も否定できません。
10. 弊社の対応
2026年1月2日の問題発覚以降、問題ファイルをすべて削除し、一時的にすべてのサイトを閉鎖しました。
また、公式サイト閉鎖中は、X および Facebook にて本インシデントを告知いたしました。
過去の定期バックアップとの差分調査を実施した結果、functions.php の改変を確認しました。
一方で、X や Facebook をご存じないお客様もいらっしゃることから、サイトを再構築し、すべてのプラグインを再インストールしたうえで問題がないことを確認し、サイトを一時的に再公開しました。その際、ホームページ最上部に、本インシデントについての X の告知へのリンクを掲載しました。
しかし、攻撃者により Web ページが再度書き換えられるリスクが残るため、WordPress の使用を中止し、従来の内容をすべて HTML にエクスポートして Web サイトを静的サイトへ移行しました。現在表示されている EmEditor Web サイトは、すべて WordPress を使用しない静的サイトとなっており、リスクを大幅に低減しています。すべての言語の EmEditor Web サイトは、マルウェア発見から 2日以内に静的サイトへ移行しました。
11. 最後に
前回も記載したとおり、マルウェアにより改ざんされたインストーラーは、実行されると極めて危険な挙動を取り得ます。しかしながら、弊社単独で「悪意あるインストーラーの作成・配布」そのものを根本的に阻止する手段がないのも実情です。
そのため、弊社ができる最大のことは、第1配布元として、弊社 Web サイトからマルウェアが入手されない状態を維持し続けることであると考えています。
公式サイト emeditor.com に似た名称のドメインが攻撃者により多数取得されていたこと、マルウェアが非常に精巧である点、そして繰り返し攻撃が行われている事実に加え、クリスマス前の週末および正月期間に攻撃が行われたことから、攻撃者の強い執念がうかがえます。
このままでは再び同様の攻撃が行われる可能性も否定できないため、WordPress による動的サイトから、HTML/CSS/JavaScript ベースの静的サイトへ移行することを決定し、実行しました。
なお、エムソフト カスタマー センター は攻撃を受けておらず、弊社のデータベースも安全でした。お客様データベースがアクセスされた証拠は確認されていません。
前述のとおり、動的サイトから静的サイトへ移行できたことで、今後 同様のインシデントが発生する可能性は大幅に低減する見込みです。これに伴い、フォーラムは閲覧専用(読み取り専用)となり、新規メンバー登録は終了しました。何卒ご了承ください。
本インシデントによる経験が、他のソフトウェア企業の皆様の対策検討にも資することを願い、可能な限りの詳細と考察を記載いたしました。
質問と回答
Q. デジタル署名が Emurasoft, Inc. でないインストーラーをインストールしてしまいました。アンインストールすれば問題ないでしょうか?
A. いいえ。アンインストールのみでは解決しません。問題のインストーラーを用いてインストールした時点で、マルウェアによる攻撃を受けている可能性が高いと考えられます。上記 「6-2. デジタル署名が一致しない場合(推奨対応)」 をご参照ください。
Q. サポートが必要な場合は、どこに連絡したらいいですか?
A. 弊社のお問い合わせまでご連絡ください。責任を持ってサポートいたします。
また、JPCERT コーディネーションセンター(JPCERT/CC) 様のご厚意により、弊社だけでなく JPCERT/CC にもご相談いただけます。
Q. EmEditor の更新チェッカーから更新した場合は問題ありませんか?
A. 更新チェッカーは、デジタル署名の署名者が Emurasoft, Inc. と一致することを自動的に確認します。そのため問題は発生しません。
Q. 今後、ダウンロードしたファイルが問題ないかどうかをどのように確認したらいいですか?
A. 拡張子が MSI の場合は、デジタル署名の署名者が 「Emurasoft, Inc.」 であることをご確認ください。
ZIP の場合、ファイル自体にデジタル署名は付与されませんが、解凍後の EXE および DLL のデジタル署名の署名者が 「Emurasoft, Inc.」 であることをご確認ください。
また今後は、ブログにて提供ファイルの SHA-256 をお知らせしますので、ダウンロードしたファイルの値と一致するかをご確認ください。
Q. 将来、再び同様のインシデントが発生する可能性はありませんか?
A. 従来の WordPress サイトについては、弊社オフィスからのみ利用できるよう IP アドレスによるアクセス制限を追加し、一般からはアクセスできない構成に変更しました。
さらに、WordPress の内容を HTML/CSS/JavaScript としてエクスポートし、静的サイトとして公開する構成へ移行しました。これにより、今回のように WordPress の脆弱性を悪用したインシデントが発生する可能性は大幅に低減したと考えています。静的サイトの更新作業(アップロード等)は厳重に管理しています。
Q. SFTP アカウントが攻撃対象となった場合、再び SFTP アカウントが攻撃されることはありませんか?
A. インシデント後、サーバー側の SFTP アカウントはすべて削除しました。今後は、必要な場合にのみサーバー側で SFTP アカウントを作成し、使用後は速やかに削除する運用としました。これにより、再び SFTP アカウントが攻撃される可能性は大幅に低減したと考えています。
Q. WordPress を更新せずに放置していたのですか?
A. WordPress 本体、プラグイン、テーマは平素より更新しています。ただし、脆弱性が発見されてから長期間にわたり開発者による更新が提供されない場合があり、その結果として脆弱性が残存してしまう可能性があります。今回の攻撃は、そのような脆弱性が狙われた可能性を否定できません。
Q. どうして問題のファイルに多くのバージョンが存在するのですか?
A. 専門家によると、同一目的のマルウェアについて、よく似た別バージョンが多数存在することは珍しくありません。主な理由は、攻撃者にとって、ウイルス対策ソフトによる検知を回避しつつ感染成功率を高めるために変更するメリットが大きいからです。
Q. 発見されたマルウェアの挙動を、わかりやすく説明してください。
A. Malware Analysis Report – Multi-stage Infostealer by Luca Palermo and Mario Ciccarelli によると、次の挙動が確認されています。
- 正規ソフトのインストーラーに見せかけて侵入:正規の EmEditor インストーラー(
emed64_25.4.3.msi)が改ざんされ、実行すると裏でマルウェアが動き出します。 - PowerShell を“見えない形”で起動し、外部からコードを取得・実行:インストーラー内の仕掛けが PowerShell を非表示で起動し、ネットから命令(第 1 段階)をダウンロードして実行します(ファイル保存を極力しない)。
- 2 段階構成(ダウンロード役 → 本体の制御役):第 1 段階は主に「本体(第 2 段階)を取得する」役目で、第 2 段階が情報窃取や常駐などの本命処理を実行します。
- 盗む対象は主に Chromium 系ブラウザの情報:Chrome/Edge/Brave/Opera などの保存データ(Cookie、ログイン情報など)を狙います。
- ブラウザの新しい保護(App-Bound Encryption)を回避して復号:Chrome v127 以降などで導入された保護でも、ブラウザ内部の仕組み(Mojo IPC や COM サービス)を悪用し、Cookie やパスワード等を「ブラウザ自身に復号させて」窃取します。
- メモリ上で DLL を実行(ディスクに残しにくい):悪意ある DLL をファイルとして保存せず、PowerShell のプロセス内メモリに直接読み込んで実行します。
- ブラウザ拡張機能を強制インストールして居座る:「Google Drive Caching(Google LLC を装う)」という偽拡張機能を導入し、継続的に監視・窃取します。
- 自動起動による永続化:Windows のタスク スケジューラに「ログオン時に起動するタスク」を作成し、再起動後も動作するようにします。
- キーロガー/フォーム窃取/スクリーンショット:入力内容(キー入力)、フォーム送信内容(パスワードを含む可能性)、閲覧中タブの画面キャプチャを取得して送信します。
- クリプトクリッピング(暗号資産アドレスのすり替え):クリップボードを監視し、仮想通貨の送金先アドレスと思われる文字列を検出すると、攻撃者のアドレスに置き換える挙動があります。
- Facebook ビジネス関連情報の窃取:Facebook Graph API へのアクセスを用い、広告アカウント情報や支払い手段などを窃取する動きが確認されています。
- 通信の改変・監視、被害端末の“踏み台プロキシ”化:WebSocket 等で C2 と接続し、通信内容の改変(セキュリティヘッダの除去)や、被害者のブラウザ経由で攻撃者が通信する(住宅回線プロキシのように利用する)機能があります。
- セキュリティサイトへのアクセス妨害:一部のセキュリティ関連ドメインへのアクセスをブロックし、
google.comへリダイレクトする挙動が観測されています。 - 窃取データを圧縮して外部サーバへ送信:ブラウザデータ等をメモリ上で ZIP 化(例:
secure_prefs.zip)し、C2(例:cachingdrive[.]com)へ送信します。拡張機能側も Cookie/履歴/スクショ等を専用 API に送信します。
Q. 攻撃者はどこから攻撃しているのでしょうか?
A. 攻撃者の属性について推測することは避けるべきだと考えています。
ただし、上記レポートによると、マルウェアにより実行されるスクリプトは、攻撃対象システムの地域情報を照会し、CIS(独立国家共同体)およびイランだった場合は攻撃を中止します。
しかし、これをもって攻撃者が旧ソビエト圏またはイランであると断定するのは早計だと考えています。マルウェア作成キットが闇市場で売買されているとも言われており、今回使用されたキットが偶然そのような仕様だった可能性もあります。
Q. Microsoft ストア(Store)より、インストーラーをダウンロードできないでしょうか?
A. ストア版は Microsoft ストアからダウンロード可能です。
ただし、現在のストア版は UWP(ユニバーサル Windows プラットフォーム)アプリのため、このページに記載のとおり制限があります。現在、MSI のデスクトップ インストーラー版についても、ストアからダウンロードできるよう準備を進めています。
Q. インストーラーを含め、現在ダウンロードできるファイルの URL と SHA-256 を教えてください。
A. 現在ダウンロードできるファイルの URL と SHA-256 は以下のとおりです。
| ファイル | ダウンロードURL | SHA-256 |
|---|---|---|
| デスクトップ インストーラー | https://download.emeditor.info/emed64_25.4.4.msi | 09e884896467b8fa574b2adf22d792e039774b8fb1300ec26a59c951937eaa3c |
| ポータブル版 | https://download.emeditor.info/emed64_25.4.4_portable.zip | b80b5d189201f306fd41a4d1e79237d0aa909d1f6214b2402019b9f2ab8c1e0d |
| ChatAI プラグイン インストーラー | https://download.emeditor.info/chatai/chatai64_25.4.4.msi | f4db8fe290d3d5d44bd08461da24f168a73b085c6d589687f41b0a9a820556e8 |
| ChatAI プラグイン ポータブル版 | https://download.emeditor.info/chatai/chatai64_25.4.4_portable.zip | c7b9fb66c2e1751733d5a071ed9ae5785456b0f90d694b071816701a92a17f4c |
| ヘルプ インストーラー | https://download.emeditor.info/help/emed_help_ja_25.4.4.msi | 8ecfdf6d47e2928a7313f2e1a1377ae5d1dee7655bbc7e4a2d13ea8ec8c2dda5 |
以上です。このたびは、皆様に多大なるご迷惑とご心配をお掛けしましたことを、重ねてお詫び申し上げます。特に、感染被害に遭われた方々には、多大なご迷惑をお掛けしましたことを深くお詫び申し上げます。
ほかにもご不明な点がございましたら、お問い合わせよりご連絡ください。
今後、EmEditor および本 Web サイトへの信頼回復に向け、より一層努めてまいります。今後ともよろしくお願い申し上げます。
