平素より EmEditor をご利用いただき、誠にありがとうございます。
2025年12月25日にご案内した 第一報 にてご報告した一連のインシデントにつきまして、その後追加で判明した内容および問題点を整理のうえ、以下のとおりご報告いたします。
前回は注意点として「別件のインシデント」と記載しましたが、現時点では、同一の攻撃者による一連の攻撃であった可能性が高い と考えております。攻撃者は、セキュリティ ソフトウェアによる検出を回避する目的で、意図的に異なるデジタル署名や遷移先ドメインを複数用意し、多数の亜種(複数バージョン)を作成して攻撃していた可能性があります。
既報の期間・ファイルに加え、ユーザーの皆様からのご報告および弊社調査により、新たに以下の期間・ファイルの存在が判明しました。
日本時間:2025年12月28日 04:38 ~ 2026年1月1日 10:06(JST, UTC+9)
UTC:2025-12-27 19:38 ~ 2026-01-01 01:06
ファイル名:emed64_25.4.3.msi
サイズ:80,380,416 bytes
デジタル署名(署名者/発行先):GRH PSYCHIC SERVICES LTD
デジタル署名(発行者):Microsoft ID Verified CS EOC CA 02
デジタル署名(有効期間):2025/12/29 ~ 2026/1/1
SHA-256:ad84f28e9bb0fcaf30846b2563a353b649ab6dc85b36d4bf58ee61a2a95b740a
VirusTotal の検出結果:https://www.virustotal.com/gui/file/ad84f28e9bb0fcaf30846b2563a353b649ab6dc85b36d4bf58ee61a2a95b740a
設置されていた場所:
また、本ファイルを含め、既報以外にも異なる改ざんファイルが混入していた可能性を否定できません。したがって、後述の「影響が発生した可能性のある全期間」においてインストーラーをダウンロードされた場合は、ダウンロードしたファイルのデジタル署名の署名者が Emurasoft, Inc. であること をご確認ください。
本件により、お客様には多大なるご心配とご迷惑をお掛けしておりますことを、重ねて深くお詫び申し上げます。
以下に、現時点での判明事項を総合してご案内いたします。
1. 影響が発生した可能性のある全期間(安全側に広げた推定期間/念のため確認推奨)
日本時間:2025年12月20日 11:39 ~ 2026年1月2日 01:51(JST, UTC+9)
UTC:2025-12-20 02:39 ~ 2026-01-01 16:51
上記期間中、EmEditor 公式サイト上の emed64_25.4.3.msi または emed64_25.4.4.msi へのリンク(ダウンロード ページまたはブログ ページ)、あるいは[今すぐダウンロード]ボタンのクリックによりインストーラーをダウンロードされた場合、弊社(Emurasoft, Inc.)が提供する正規ファイルではない別ファイルがダウンロードされた可能性があります。
※以前の告知では別件のインシデントとしてご案内していましたが、その後の調査により、改ざん手口が同一であること、同一攻撃者の可能性が高いこと、また両期間の間にも改ざんが継続していた可能性を否定できないことから、期間を統合して「確認推奨」に含めることとしました。なお、同一攻撃者であることは推定であり、調査の進捗により今後更新される可能性があります。
※開始時刻は、当該時点のバックアップに問題ファイルまたは改ざん痕跡が存在しなかったことに基づきます。終了時刻は、最後に発見されたインシデントにおいて問題ファイルを削除した時刻です。
※本告知は安全側に広げた推定であり、期間中ずっと連続して改ざんが行われていたことを意味するものではありません。
2. 事象の概要
EmEditor 公式サイトでは、EmEditor デスクトップ インストーラー最新版のダウンロード先として、次のいずれかの URL をリンクしていました。
https://support.emeditor.com/ja/downloads/latest/installer/64
https://download.emeditor.info/emed64_25.4.3.msi
https://download.emeditor.info/emed64_25.4.4.msi
当該期間中、これらのリンクをクリックすると、第三者により以下の URL に遷移するよう改ざんされていました(現在はいずれも削除済みです)。
/wp-content/uploads/2025/10/emed64_25.4.3.msi(削除済み)
/wp-content/uploads/2025/10/emed64_25.4.4.msi(削除済み)
その結果、マルウェアを含む emed64_25.4.3.msi または emed64_25.4.4.msi がダウンロードされる事象が発生しました。
当該ファイルは弊社が作成したものではなく、現在は削除済みです。
また、当該ファイルには弊社の署名ではなく、WALSHAM INVESTMENTS LIMITED または GRH PSYCHIC SERVICES LTD のデジタル署名が付与されていることを確認しています。
3. 問題のない正規ファイル
以下は、問題のない正規ファイルの情報です。
4. 影響が確認されているファイル
現時点で判明している問題ファイルは以下のとおりです。
ファイル名 デジタル署名(署名者) 有効期間 SHA-256 emed64_25.4.3.msi WALSHAM INVESTMENTS LIMITED 2025/12/21~2025/12/24 4bea333d… emed64_25.4.3.msi WALSHAM INVESTMENTS LIMITED 2025/12/20~2025/12/23 3d1763b0… emed64_25.4.3.msi GRH PSYCHIC SERVICES LTD 2025/12/29~2026/1/1 ad84f28e… emed64_25.4.4.msi GRH PSYCHIC SERVICES LTD 2025/12/31~2026/1/3 da59acc7…
なお、これ以外のファイルであっても、デジタル署名の署名者が Emurasoft, Inc. と一致しない場合は問題がある可能性があります。
付与されていたデジタル署名の有効期間が数日間と非常に短い点が特徴です。
弊社では Microsoft に対し、問題ファイルを添付して本インシデントを報告し、当該デジタル署名の無効化を要請しました。
5. 影響を受けないケース
以下の場合は 本件の影響を受けません 。
EmEditor の 更新チェッカー から更新した場合、または EmEditor により自動更新が行われた場合(更新チェッカーは、デジタル署名の署名者が Emurasoft, Inc. と一致することを自動的に確認するため、問題は発生しません)
emed64_25.4.3.msiemed64_25.4.4.msi 以外ポータブル版 ストア アプリ版 winget を利用してインストール/更新した場合問題ファイルをダウンロードしていたとしても、当該ファイルを実行していない場合
6. 該当する可能性がある場合の確認方法とお願い
上記期間中に EmEditor 公式サイトからインストーラーを入手された可能性がある場合は、ダウンロードした emed64_25.4.3.msiemed64_25.4.4.msiデジタル署名 をご確認ください。可能であれば、SHA-256 の一致確認も行うとより確実です。
6-1. デジタル署名の確認手順(Windows)
対象ファイル(emed64_25.4.3.msi または emed64_25.4.4.msi)を右クリックし、[プロパティ]を開きます。
[デジタル署名]タブを開きます。
署名者名(Signer/署名者)が Emurasoft, Inc. であることを確認してください。
※[デジタル署名]タブが表示されない場合、署名が付与されていない、または正しく認識できない可能性があります。その場合も当該ファイルは実行せず削除し、後述の対応をご検討ください。
6-2. デジタル署名が一致しない場合(推奨対応)
デジタル署名が Emurasoft, Inc. ではなかった場合、改ざんされたファイル(マルウェアを含む可能性のあるファイル)を入手された恐れがあります。
直ちに当該コンピューターを ネットワークから切り離す (有線/無線の遮断)
コンピューター全体の マルウェア スキャン を実施する
状況により、可能であれば OS を含む環境のリフレッシュ/再構築 をご検討ください
当該端末で利用・保存していた情報が漏えいしている可能性も考慮し、各種サービスの パスワード変更 (必要に応じて多要素認証の有効化)をご検討ください
企業・組織でご利用の場合は、可能な範囲で社内のセキュリティ担当部門への連絡も推奨いたします
6-3. ダウンロードしたファイルを既に削除してしまった場合の対処方法
すでにダウンロードしたファイルを削除している場合でも、Windows の仕様により、インストール時に参照された MSI が C:\Windows\Installer
このフォルダは隠しフォルダであり、かつ OS により保護されたフォルダでもあるため、ファイル エクスプローラー上で通常の操作だけでは見つけにくく、C:\Windows\Installer をパス指定して直接開く
フォルダを開いた後は、次の手順を推奨いたします。なお、この際、MSI ファイルをダブルクリックしたり実行したりしないよう 、十分ご注意ください。
日付順(更新日時など)で並べ替え を行う比較的新しいファイル を中心に確認する対象ファイルの デジタル署名 を確認する(右クリック → プロパティ → デジタル署名)
6-4. コンピューターがマルウェアに感染したかどうかを判別する方法
問題のファイルを実行した場合でも、次のような環境では必ずしも感染するとは限りません。
端末がオフラインであった場合
VPN/プロキシ必須環境であった場合
Windows の機能/ポリシーにより PowerShell の不審な挙動がブロックされた場合
PowerShell の起動自体が制限されていた場合
アンチウイルス/セキュリティ ソフトウェアによりブロックされた場合
次の条件に 1 つでも 当てはまる場合、感染している可能性が高いと考えられます。
C:\ProgramData\tmp_mojo.log が存在するGoogle Drive Caching という名前のタスクがスケジュールされている%LOCALAPPDATA%\Google Drive Caching\ フォルダ内に background.vbsChrome、Microsoft Edge など Chromium ベースのブラウザに、Google Drive Caching という名前の拡張機能が存在する(たとえ Google 製を名乗っていても)。特に「すべてのウェブサイト上のデータの読み取りと変更」が可能で、さらにクリップボードにアクセスできる権限を持つ場合
ネットワーク ログを調査した結果、次のいずれかに接続された形跡がある:cachingdrive[.]com、emeditorde[.]com、emeditorgb[.]com、emeditorjp[.]com、emeditorsb[.]com、emeditorltd[.]com
上記のすべてに当てはまらない場合、リスクは低いと考えられますが、ゼロではありません。攻撃の一部はファイルに痕跡を残さず、メモリ上で実行される場合があるためです。
7. 確認されている挙動
VirusTotal の当時の検出結果により、emeditorjp[.]com、emeditorde[.]com、emeditorgb[.]com、emeditorsb[.]com、emeditorltd[.]com へのアクセスが確認されています。
これらのドメインは、弊社(Emurasoft, Inc.)が管理しているドメインではありません。インストーラーを実行したコンピューターがマルウェアに感染し、パスワード等の情報が窃取される可能性があります。発生時期および手口から、前回のインシデントと同様のマルウェアである可能性が高いと考えています。
詳細については、Luca Palermo 氏および Mario Ciccarelli 氏によりまとめられた研究レポートをご参照ください。本レポートは Luca Palermo 氏からご提供いただいたものであり、掲載許可もいただいております。この場を借りて、ご厚意に感謝申し上げます。
8. 問題の本質
残念ながら、ソフトウェア企業にとって、「正規インストーラーに酷似した悪意あるインストーラーの作成・流通そのもの」を完全に防ぐことは困難 です。しかしながら、前回と同様、今回の本質的な問題は次の 2 点 です。
弊社 Web サイトで利用していたダウンロード用リンクが、気付かないうちに改ざんされたこと
弊社 Web サイトに外部からアクセスされ、マルウェアを含む 問題ファイルが設置されたこと
これらが重なったことで、「公式サイトからダウンロードしたお客様が被害に遭われた」という事態を招きました。弊社として重い責任を感じており、「防げなかったのか」という反省も含め、今後の対策につなげてまいります。
詳細な経緯については、前回までの告知内容をご参照ください。
9. 原因(調査中)
WordPress は本体、プラグイン、テーマ等の複数の要素から構成され、多くの開発者により提供されています。これらには脆弱性が発見されることもあり、その都度更新が提供されます。
10. 弊社の対応
2026年1月2日の問題発覚以降、問題ファイルをすべて削除し、一時的にすべてのサイトを閉鎖しました。
また、公式サイト閉鎖中は、X および Facebook にて本インシデントを告知いたしました。
過去の定期バックアップとの差分調査を実施した結果、functions[.]php の改変を確認しました。
一方で、X や Facebook をご存じないお客様もいらっしゃることから、サイトを再構築し、すべてのプラグインを再インストールしたうえで問題がないことを確認し、サイトを一時的に再公開しました。その際、ホームページ最上部に、本インシデントについての X の告知へのリンクを掲載しました。
しかし、攻撃者により Web ページが再度書き換えられるリスクが残るため、WordPress の使用を中止し、従来の内容をすべて HTML にエクスポートして Web サイトを静的サイトへ移行しました。現在表示されている EmEditor Web サイトは、すべて WordPress を使用しない静的サイトとなっており、リスクを大幅に低減しています。すべての言語の EmEditor Web サイトは、マルウェア発見から 2日以内 に静的サイトへ移行しました。
11. 最後に
前回も記載したとおり、マルウェアにより改ざんされたインストーラーは、実行されると極めて危険な挙動を取り得ます。しかしながら、弊社単独で「悪意あるインストーラーの作成・配布」そのものを根本的に阻止する手段がないのも実情です。
そのため、弊社ができる最大のことは、第1配布元として、弊社 Web サイトからマルウェアが入手されない状態を維持し続けること であると考えています。
公式サイト emeditor.com に似た名称のドメインが攻撃者により多数取得されていたこと、マルウェアが非常に精巧である点、そして繰り返し攻撃が行われている事実に加え、クリスマス前の週末および正月期間に攻撃が行われたことから、攻撃者の強い執念がうかがえます。
なお、エムソフト カスタマー センター は攻撃を受けておらず、弊社のデータベースも安全でした。お客様データベースがアクセスされた証拠は確認されていません。
前述のとおり、動的サイトから静的サイトへ移行できたことで、今後 同様のインシデントが発生する可能性は大幅に低減する見込みです 。これに伴い、フォーラムは閲覧専用(読み取り専用)となり、新規メンバー登録は終了しました。何卒ご了承ください。
本インシデントによる経験が、他のソフトウェア企業の皆様の対策検討にも資することを願い、可能な限りの詳細と考察を記載いたしました。
質問と回答
Q. デジタル署名が Emurasoft, Inc. でないインストーラーをインストールしてしまいました。アンインストールすれば問題ないでしょうか? A. いいえ。アンインストールのみでは解決しません。問題のインストーラーを用いてインストールした時点で、マルウェアによる攻撃を受けている可能性が高いと考えられます。上記 「6-2. デジタル署名が一致しない場合(推奨対応)」 をご参照ください。
Q. サポートが必要な場合は、どこに連絡したらいいですか? A. 弊社のお問い合わせ までご連絡ください。責任を持ってサポートいたします。JPCERT コーディネーションセンター(JPCERT/CC) 様のご厚意により、弊社だけでなく JPCERT/CC にもご相談いただけます。
Q. EmEditor の更新チェッカーから更新した場合は問題ありませんか? A. 更新チェッカーは、デジタル署名の署名者が Emurasoft, Inc. と一致することを自動的に確認します。そのため問題は発生しません。
Q. 今後、ダウンロードしたファイルが問題ないかどうかをどのように確認したらいいですか? A. 拡張子が MSI の場合は、デジタル署名の署名者が 「Emurasoft, Inc.」 であることをご確認ください。ZIP の場合、ファイル自体にデジタル署名は付与されませんが、解凍後の EXE および DLL のデジタル署名の署名者が 「Emurasoft, Inc.」 であることをご確認ください。SHA-256 をお知らせしますので、ダウンロードしたファイルの値と一致するかをご確認ください。
Q. 将来、再び同様のインシデントが発生する可能性はありませんか? A. 従来の WordPress サイトについては、弊社オフィスからのみ利用できるよう IP アドレスによるアクセス制限を追加し、一般からはアクセスできない構成に変更しました。
Q. SFTP アカウントが攻撃対象となった場合、再び SFTP アカウントが攻撃されることはありませんか? A. インシデント後、サーバー側の SFTP アカウントはすべて削除しました。今後は、必要な場合にのみサーバー側で SFTP アカウントを作成し、使用後は速やかに削除する運用としました。これにより、再び SFTP アカウントが攻撃される可能性は大幅に低減したと考えています。
Q. WordPress を更新せずに放置していたのですか? A. WordPress 本体、プラグイン、テーマは平素より更新しています。ただし、脆弱性が発見されてから長期間にわたり開発者による更新が提供されない場合があり、その結果として脆弱性が残存してしまう可能性があります。今回の攻撃は、そのような脆弱性が狙われた可能性を否定できません。
Q. どうして問題のファイルに多くのバージョンが存在するのですか? A. 専門家によると、同一目的のマルウェアについて、よく似た別バージョンが多数存在することは珍しくありません。主な理由は、攻撃者にとって、ウイルス対策ソフトによる検知を回避しつつ感染成功率を高めるために変更するメリットが大きいからです。
Q. 発見されたマルウェアの挙動を、わかりやすく説明してください。 A. Malware Analysis Report – Multi-stage Infostealer by Luca Palermo and Mario Ciccarelli によると、次の挙動が確認されています。
正規ソフトのインストーラーに見せかけて侵入 :正規の EmEditor インストーラー(emed64_25.4.3.msi)が改ざんされ、実行すると裏でマルウェアが動き出します。PowerShell を“見えない形”で起動し、外部からコードを取得・実行 :インストーラー内の仕掛けが PowerShell を非表示で起動し、ネットから命令(第 1 段階)をダウンロードして実行します(ファイル保存を極力しない)。2 段階構成(ダウンロード役 → 本体の制御役) :第 1 段階は主に「本体(第 2 段階)を取得する」役目で、第 2 段階が情報窃取や常駐などの本命処理を実行します。盗む対象は主に Chromium 系ブラウザの情報 :Chrome/Edge/Brave/Opera などの保存データ(Cookie、ログイン情報など)を狙います。ブラウザの新しい保護(App-Bound Encryption)を回避して復号 :Chrome v127 以降などで導入された保護でも、ブラウザ内部の仕組み(Mojo IPC や COM サービス)を悪用し、Cookie やパスワード等を「ブラウザ自身に復号させて」窃取します。メモリ上で DLL を実行(ディスクに残しにくい) :悪意ある DLL をファイルとして保存せず、PowerShell のプロセス内メモリに直接読み込んで実行します。ブラウザ拡張機能を強制インストールして居座る :「Google Drive Caching(Google LLC を装う)」という偽拡張機能を導入し、継続的に監視・窃取します。自動起動による永続化 :Windows のタスク スケジューラに「ログオン時に起動するタスク」を作成し、再起動後も動作するようにします。キーロガー/フォーム窃取/スクリーンショット :入力内容(キー入力)、フォーム送信内容(パスワードを含む可能性)、閲覧中タブの画面キャプチャを取得して送信します。クリプトクリッピング(暗号資産アドレスのすり替え) :クリップボードを監視し、仮想通貨の送金先アドレスと思われる文字列を検出すると、攻撃者のアドレスに置き換える挙動があります。Facebook ビジネス関連情報の窃取 :Facebook Graph API へのアクセスを用い、広告アカウント情報や支払い手段などを窃取する動きが確認されています。通信の改変・監視、被害端末の“踏み台プロキシ”化 :WebSocket 等で C2 と接続し、通信内容の改変(セキュリティヘッダの除去)や、被害者のブラウザ経由で攻撃者が通信する(住宅回線プロキシのように利用する)機能があります。セキュリティサイトへのアクセス妨害 :一部のセキュリティ関連ドメインへのアクセスをブロックし、google.com へリダイレクトする挙動が観測されています。窃取データを圧縮して外部サーバへ送信 :ブラウザデータ等をメモリ上で ZIP 化(例:secure_prefs.zip)し、C2(例:cachingdrive[.]com)へ送信します。拡張機能側も Cookie/履歴/スクショ等を専用 API に送信します。
Q. 攻撃者はどこから攻撃しているのでしょうか? A. 攻撃者の属性について推測することは避けるべきだと考えています。
Q. Microsoft ストア(Store)より、インストーラーをダウンロードできないでしょうか? A. ストア版は Microsoft ストアからダウンロード可能です。このページ に記載のとおり制限があります。現在、MSI のデスクトップ インストーラー版についても、ストアからダウンロードできるよう準備を進めています。
Q. インストーラーを含め、現在ダウンロードできるファイルの URL と SHA-256 を教えてください。 A. 現在ダウンロードできるファイルの URL と SHA-256 は以下のとおりです。
以上です。このたびは、皆様に多大なるご迷惑とご心配をお掛けしましたことを、重ねてお詫び申し上げます。特に、感染被害に遭われた方々には、多大なご迷惑をお掛けしましたことを深くお詫び申し上げます。
ほかにもご不明な点がございましたら、お問い合わせ よりご連絡ください。
今後、EmEditor および本 Web サイトへの信頼回復に向け、より一層努めてまいります。今後ともよろしくお願い申し上げます。
EmEditor v26.0 preview を公開しました
/カテゴリ: EmEditor プレビュー/作成者: Yutaka Emura本メッセージでは、v26.0 preview についての更新内容をお知らせします。この情報は、プレビュー版がリリースされる度に更新されます。
プレビュー版についてのご意見、不具合のご報告は、お問い合わせをご利用ください。EmEditor プレビュー版をお試しいただき、誠にありがとうございます。
画面図については Version 26.0 の新機能 をご覧ください。
更新方法
インストーラー版をお使いの場合、自動的に最新のプレビュー版に更新するには、[ヘルプ] メニューの [更新チェッカーのカスタマイズ] を選択し、[プレビュー版を含める] を設定してください。また、最新のプレビュー版は、以前のバージョンからもダウンロードしていただけます。
preview 1 (25.9.901) – January 26, 2026
一般の新機能
コードコマンドが、テキスト未選択の場合でも動作するようになりました。 [P]新しい設定
gpt-5.2とgpt-5.2.codexを追加しました。 [P]プラグインの新機能 [P]
バグ修正
preview 3 (25.9.903) – February 2, 2026
注
EmEditor をより安心して入手いただけるようになりました
/カテゴリ: 一般/作成者: Yutaka EmuraEmEditor(デスクトップ版インストーラー)は、Microsoft ストアからも入手できるようになりました。
Microsoft ストアから入手できるデスクトップ インストーラーは、EmEditor Professional / EmEditor Free の同一プログラムです(同じアプリを入手し、利用形態に応じてお使いいただけます)。
あわせて、公式サイト(jp.emeditor.com)からのダウンロードについても、より安心してご利用いただけるよう改善しました。
今後も公式配布元として、弊社Webサイトおよび正規の配布チャネルから、正規のインストーラーのみを提供し続けてまいります。
※ダウンロードは、公式サイト / Microsoft ストアなど、信頼できる配布元をご利用ください。
Microsoft ストアからダウンロード
その他のダウンロード
EmEditor v25.4.5 を公開しました – Microsoftストアより利用可能です!
/カテゴリ: EmEditor 本体/作成者: Yutaka Emura本日、EmEditor v25.4.5 を公開しました。v25.4.5 には、以下の不具合修正が含まれています。安定した動作のため、常に最新版に更新してご利用ください。
デスクトップ インストーラー版をご利用の場合は、[ヘルプ] → [更新の確認] を選択して最新バージョンをダウンロードしてください。うまくいかない場合、または現在 EmEditor がインストールされていない場合は、インストーラーをダウンロードして実行してください。
EmEditor (デスクトップ版インストーラー) は Microsoft Store からも入手できるようになりました:
デスクトップ インストーラーを Microsoft ストアよりダウンロード (推奨)
古い Windows をお使いの場合は、こちらから、インストーラーを直接ダウンロードできます。
MSI ファイルを直接ダウンロードした場合は、必ずデジタル署名の署名者が Emurasoft, Inc. であることを確認してください。デジタル署名を確認するには、次の手順を行います。
EmEditor の更新チェッカーは、自動的に MSI ファイルのデジタル署名の署名者を確認しており、署名者が Emurasoft, Inc. でない場合には更新を中止します。
または、SHA-256 のハッシュ値を次の値と照合することもできます。
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その他のファイルは、こちらよりダウンロードして更新できます。
【重要】EmEditor インストーラーのダウンロード導線に関するセキュリティ インシデント(追加情報とまとめ)
/カテゴリ: 一般/作成者: Yutaka Emura平素より EmEditor をご利用いただき、誠にありがとうございます。
2025年12月25日にご案内した 第一報 にてご報告した一連のインシデントにつきまして、その後追加で判明した内容および問題点を整理のうえ、以下のとおりご報告いたします。
前回は注意点として「別件のインシデント」と記載しましたが、現時点では、同一の攻撃者による一連の攻撃であった可能性が高いと考えております。攻撃者は、セキュリティ ソフトウェアによる検出を回避する目的で、意図的に異なるデジタル署名や遷移先ドメインを複数用意し、多数の亜種(複数バージョン)を作成して攻撃していた可能性があります。
なお、同一攻撃者であることは推定であり、調査の進捗により今後更新される可能性があります。
既報の期間・ファイルに加え、ユーザーの皆様からのご報告および弊社調査により、新たに以下の期間・ファイルの存在が判明しました。
emed64_25.4.3.msihttps://www.virustotal.com/gui/file/ad84f28e9bb0fcaf30846b2563a353b649ab6dc85b36d4bf58ee61a2a95b740a
/wp-content/uploads/2025/10/emed64_25.4.3.msi(削除済み)
また、本ファイルを含め、既報以外にも異なる改ざんファイルが混入していた可能性を否定できません。したがって、後述の「影響が発生した可能性のある全期間」においてインストーラーをダウンロードされた場合は、ダウンロードしたファイルのデジタル署名の署名者が Emurasoft, Inc. であることをご確認ください。
本件により、お客様には多大なるご心配とご迷惑をお掛けしておりますことを、重ねて深くお詫び申し上げます。
以下に、現時点での判明事項を総合してご案内いたします。
1. 影響が発生した可能性のある全期間(安全側に広げた推定期間/念のため確認推奨)
上記期間中、EmEditor 公式サイト上の
emed64_25.4.3.msiまたはemed64_25.4.4.msiへのリンク(ダウンロード ページまたはブログ ページ)、あるいは[今すぐダウンロード]ボタンのクリックによりインストーラーをダウンロードされた場合、弊社(Emurasoft, Inc.)が提供する正規ファイルではない別ファイルがダウンロードされた可能性があります。※以前の告知では別件のインシデントとしてご案内していましたが、その後の調査により、改ざん手口が同一であること、同一攻撃者の可能性が高いこと、また両期間の間にも改ざんが継続していた可能性を否定できないことから、期間を統合して「確認推奨」に含めることとしました。なお、同一攻撃者であることは推定であり、調査の進捗により今後更新される可能性があります。
※開始時刻は、当該時点のバックアップに問題ファイルまたは改ざん痕跡が存在しなかったことに基づきます。終了時刻は、最後に発見されたインシデントにおいて問題ファイルを削除した時刻です。
※本告知は安全側に広げた推定であり、期間中ずっと連続して改ざんが行われていたことを意味するものではありません。
2. 事象の概要
EmEditor 公式サイトでは、EmEditor デスクトップ インストーラー最新版のダウンロード先として、次のいずれかの URL をリンクしていました。
当該期間中、これらのリンクをクリックすると、第三者により以下の URL に遷移するよう改ざんされていました(現在はいずれも削除済みです)。
その結果、マルウェアを含む
emed64_25.4.3.msiまたはemed64_25.4.4.msiがダウンロードされる事象が発生しました。当該ファイルは弊社が作成したものではなく、現在は削除済みです。
また、当該ファイルには弊社の署名ではなく、WALSHAM INVESTMENTS LIMITED または GRH PSYCHIC SERVICES LTD のデジタル署名が付与されていることを確認しています。
3. 問題のない正規ファイル
以下は、問題のない正規ファイルの情報です。
4. 影響が確認されているファイル
現時点で判明している問題ファイルは以下のとおりです。
なお、これ以外のファイルであっても、デジタル署名の署名者が Emurasoft, Inc. と一致しない場合は問題がある可能性があります。
付与されていたデジタル署名の有効期間が数日間と非常に短い点が特徴です。
弊社では Microsoft に対し、問題ファイルを添付して本インシデントを報告し、当該デジタル署名の無効化を要請しました。
5. 影響を受けないケース
以下の場合は 本件の影響を受けません。
emed64_25.4.3.msiまたはemed64_25.4.4.msi以外のファイル6. 該当する可能性がある場合の確認方法とお願い
上記期間中に EmEditor 公式サイトからインストーラーを入手された可能性がある場合は、ダウンロードした
emed64_25.4.3.msiまたはemed64_25.4.4.msiのデジタル署名をご確認ください。可能であれば、SHA-256 の一致確認も行うとより確実です。6-1. デジタル署名の確認手順(Windows)
emed64_25.4.3.msiまたはemed64_25.4.4.msi)を右クリックし、[プロパティ]を開きます。※[デジタル署名]タブが表示されない場合、署名が付与されていない、または正しく認識できない可能性があります。その場合も当該ファイルは実行せず削除し、後述の対応をご検討ください。
※組織でご利用の場合は、削除や初期化の前に社内のセキュリティ部門へご相談のうえ、必要に応じてログ等の保全をご検討ください。
6-2. デジタル署名が一致しない場合(推奨対応)
デジタル署名が Emurasoft, Inc. ではなかった場合、改ざんされたファイル(マルウェアを含む可能性のあるファイル)を入手された恐れがあります。
6-3. ダウンロードしたファイルを既に削除してしまった場合の対処方法
すでにダウンロードしたファイルを削除している場合でも、Windows の仕様により、インストール時に参照された MSI が
C:\Windows\Installer配下に別名で残っていることがあります。このフォルダは隠しフォルダであり、かつ OS により保護されたフォルダでもあるため、ファイル エクスプローラー上で通常の操作だけでは見つけにくく、
C:\Windows\Installerをパス指定して直接開く必要があります。フォルダを開いた後は、次の手順を推奨いたします。なお、この際、MSI ファイルをダブルクリックしたり実行したりしないよう、十分ご注意ください。
6-4. コンピューターがマルウェアに感染したかどうかを判別する方法
問題のファイルを実行した場合でも、次のような環境では必ずしも感染するとは限りません。
次の条件に 1 つでも当てはまる場合、感染している可能性が高いと考えられます。
C:\ProgramData\tmp_mojo.logが存在するGoogle Drive Cachingという名前のタスクがスケジュールされている%LOCALAPPDATA%\Google Drive Caching\フォルダ内にbackground.vbsが存在するGoogle Drive Cachingという名前の拡張機能が存在する(たとえ Google 製を名乗っていても)。特に「すべてのウェブサイト上のデータの読み取りと変更」が可能で、さらにクリップボードにアクセスできる権限を持つ場合cachingdrive[.]com、emeditorde[.]com、emeditorgb[.]com、emeditorjp[.]com、emeditorsb[.]com、emeditorltd[.]com上記のすべてに当てはまらない場合、リスクは低いと考えられますが、ゼロではありません。攻撃の一部はファイルに痕跡を残さず、メモリ上で実行される場合があるためです。
7. 確認されている挙動
VirusTotal の当時の検出結果により、
emeditorjp[.]com、emeditorde[.]com、emeditorgb[.]com、emeditorsb[.]com、emeditorltd[.]comへのアクセスが確認されています。これらのドメインは、弊社(Emurasoft, Inc.)が管理しているドメインではありません。インストーラーを実行したコンピューターがマルウェアに感染し、パスワード等の情報が窃取される可能性があります。発生時期および手口から、前回のインシデントと同様のマルウェアである可能性が高いと考えています。
詳細については、Luca Palermo 氏および Mario Ciccarelli 氏によりまとめられた研究レポートをご参照ください。本レポートは Luca Palermo 氏からご提供いただいたものであり、掲載許可もいただいております。この場を借りて、ご厚意に感謝申し上げます。
8. 問題の本質
残念ながら、ソフトウェア企業にとって、「正規インストーラーに酷似した悪意あるインストーラーの作成・流通そのもの」を完全に防ぐことは困難です。しかしながら、前回と同様、今回の本質的な問題は次の 2 点です。
これらが重なったことで、「公式サイトからダウンロードしたお客様が被害に遭われた」という事態を招きました。弊社として重い責任を感じており、「防げなかったのか」という反省も含め、今後の対策につなげてまいります。
詳細な経緯については、前回までの告知内容をご参照ください。
9. 原因(調査中)
WordPress は本体、プラグイン、テーマ等の複数の要素から構成され、多くの開発者により提供されています。これらには脆弱性が発見されることもあり、その都度更新が提供されます。
弊社では平素よりプラグインやテーマの更新を行っておりますが、脆弱性が発見されてから長期間にわたり開発者による更新が提供されない場合があり、その結果として脆弱性が残存してしまう可能性があります。今回の攻撃は、そのような脆弱性が狙われた可能性を否定できません。さらに、使用していた SFTP アカウントが攻撃対象となった可能性も否定できません。
10. 弊社の対応
2026年1月2日の問題発覚以降、問題ファイルをすべて削除し、一時的にすべてのサイトを閉鎖しました。
また、公式サイト閉鎖中は、X および Facebook にて本インシデントを告知いたしました。
過去の定期バックアップとの差分調査を実施した結果、
functions[.]phpの改変を確認しました。一方で、X や Facebook をご存じないお客様もいらっしゃることから、サイトを再構築し、すべてのプラグインを再インストールしたうえで問題がないことを確認し、サイトを一時的に再公開しました。その際、ホームページ最上部に、本インシデントについての X の告知へのリンクを掲載しました。
しかし、攻撃者により Web ページが再度書き換えられるリスクが残るため、WordPress の使用を中止し、従来の内容をすべて HTML にエクスポートして Web サイトを静的サイトへ移行しました。現在表示されている EmEditor Web サイトは、すべて WordPress を使用しない静的サイトとなっており、リスクを大幅に低減しています。すべての言語の EmEditor Web サイトは、マルウェア発見から 2日以内に静的サイトへ移行しました。
11. 最後に
前回も記載したとおり、マルウェアにより改ざんされたインストーラーは、実行されると極めて危険な挙動を取り得ます。しかしながら、弊社単独で「悪意あるインストーラーの作成・配布」そのものを根本的に阻止する手段がないのも実情です。
そのため、弊社ができる最大のことは、第1配布元として、弊社 Web サイトからマルウェアが入手されない状態を維持し続けることであると考えています。
公式サイト
emeditor.comに似た名称のドメインが攻撃者により多数取得されていたこと、マルウェアが非常に精巧である点、そして繰り返し攻撃が行われている事実に加え、クリスマス前の週末および正月期間に攻撃が行われたことから、攻撃者の強い執念がうかがえます。このままでは再び同様の攻撃が行われる可能性も否定できないため、WordPress による動的サイトから、HTML/CSS/JavaScript ベースの静的サイトへ移行することを決定し、実行しました。
なお、エムソフト カスタマー センター は攻撃を受けておらず、弊社のデータベースも安全でした。お客様データベースがアクセスされた証拠は確認されていません。
前述のとおり、動的サイトから静的サイトへ移行できたことで、今後 同様のインシデントが発生する可能性は大幅に低減する見込みです。これに伴い、フォーラムは閲覧専用(読み取り専用)となり、新規メンバー登録は終了しました。何卒ご了承ください。
本インシデントによる経験が、他のソフトウェア企業の皆様の対策検討にも資することを願い、可能な限りの詳細と考察を記載いたしました。
質問と回答
Q. デジタル署名が Emurasoft, Inc. でないインストーラーをインストールしてしまいました。アンインストールすれば問題ないでしょうか?
A. いいえ。アンインストールのみでは解決しません。問題のインストーラーを用いてインストールした時点で、マルウェアによる攻撃を受けている可能性が高いと考えられます。上記 「6-2. デジタル署名が一致しない場合(推奨対応)」 をご参照ください。
Q. サポートが必要な場合は、どこに連絡したらいいですか?
A. 弊社のお問い合わせまでご連絡ください。責任を持ってサポートいたします。
また、JPCERT コーディネーションセンター(JPCERT/CC) 様のご厚意により、弊社だけでなく JPCERT/CC にもご相談いただけます。
Q. EmEditor の更新チェッカーから更新した場合は問題ありませんか?
A. 更新チェッカーは、デジタル署名の署名者が Emurasoft, Inc. と一致することを自動的に確認します。そのため問題は発生しません。
Q. 今後、ダウンロードしたファイルが問題ないかどうかをどのように確認したらいいですか?
A. 拡張子が MSI の場合は、デジタル署名の署名者が 「Emurasoft, Inc.」 であることをご確認ください。
ZIP の場合、ファイル自体にデジタル署名は付与されませんが、解凍後の EXE および DLL のデジタル署名の署名者が 「Emurasoft, Inc.」 であることをご確認ください。
また今後は、ブログにて提供ファイルの SHA-256 をお知らせしますので、ダウンロードしたファイルの値と一致するかをご確認ください。
Q. 将来、再び同様のインシデントが発生する可能性はありませんか?
A. 従来の WordPress サイトについては、弊社オフィスからのみ利用できるよう IP アドレスによるアクセス制限を追加し、一般からはアクセスできない構成に変更しました。
さらに、WordPress の内容を HTML/CSS/JavaScript としてエクスポートし、静的サイトとして公開する構成へ移行しました。これにより、今回のように WordPress の脆弱性を悪用したインシデントが発生する可能性は大幅に低減したと考えています。静的サイトの更新作業(アップロード等)は厳重に管理しています。
Q. SFTP アカウントが攻撃対象となった場合、再び SFTP アカウントが攻撃されることはありませんか?
A. インシデント後、サーバー側の SFTP アカウントはすべて削除しました。今後は、必要な場合にのみサーバー側で SFTP アカウントを作成し、使用後は速やかに削除する運用としました。これにより、再び SFTP アカウントが攻撃される可能性は大幅に低減したと考えています。
Q. WordPress を更新せずに放置していたのですか?
A. WordPress 本体、プラグイン、テーマは平素より更新しています。ただし、脆弱性が発見されてから長期間にわたり開発者による更新が提供されない場合があり、その結果として脆弱性が残存してしまう可能性があります。今回の攻撃は、そのような脆弱性が狙われた可能性を否定できません。
Q. どうして問題のファイルに多くのバージョンが存在するのですか?
A. 専門家によると、同一目的のマルウェアについて、よく似た別バージョンが多数存在することは珍しくありません。主な理由は、攻撃者にとって、ウイルス対策ソフトによる検知を回避しつつ感染成功率を高めるために変更するメリットが大きいからです。
Q. 発見されたマルウェアの挙動を、わかりやすく説明してください。
A. Malware Analysis Report – Multi-stage Infostealer by Luca Palermo and Mario Ciccarelli によると、次の挙動が確認されています。
emed64_25.4.3.msi)が改ざんされ、実行すると裏でマルウェアが動き出します。google.comへリダイレクトする挙動が観測されています。secure_prefs.zip)し、C2(例:cachingdrive[.]com)へ送信します。拡張機能側も Cookie/履歴/スクショ等を専用 API に送信します。Q. 攻撃者はどこから攻撃しているのでしょうか?
A. 攻撃者の属性について推測することは避けるべきだと考えています。
ただし、上記レポートによると、マルウェアにより実行されるスクリプトは、攻撃対象システムの地域情報を照会し、CIS(独立国家共同体)およびイランだった場合は攻撃を中止します。
しかし、これをもって攻撃者が旧ソビエト圏またはイランであると断定するのは早計だと考えています。マルウェア作成キットが闇市場で売買されているとも言われており、今回使用されたキットが偶然そのような仕様だった可能性もあります。
Q. Microsoft ストア(Store)より、インストーラーをダウンロードできないでしょうか?
A. ストア版は Microsoft ストアからダウンロード可能です。
ただし、現在のストア版は UWP(ユニバーサル Windows プラットフォーム)アプリのため、このページに記載のとおり制限があります。現在、MSI のデスクトップ インストーラー版についても、ストアからダウンロードできるよう準備を進めています。
Q. インストーラーを含め、現在ダウンロードできるファイルの URL と SHA-256 を教えてください。
A. 現在ダウンロードできるファイルの URL と SHA-256 は以下のとおりです。
以上です。このたびは、皆様に多大なるご迷惑とご心配をお掛けしましたことを、重ねてお詫び申し上げます。特に、感染被害に遭われた方々には、多大なご迷惑をお掛けしましたことを深くお詫び申し上げます。
ほかにもご不明な点がございましたら、お問い合わせよりご連絡ください。
今後、EmEditor および本 Web サイトへの信頼回復に向け、より一層努めてまいります。今後ともよろしくお願い申し上げます。
【重要】EmEditor ホームページに関する不正リンク(マルウェア)について(続報)
/カテゴリ: 一般/作成者: Yutaka Emura※情報は随時更新しています。最新情報をご確認ください。
平素より EmEditor をご利用いただき、誠にありがとうございます。
既に X にてお知らせしております「【重要】EmEditor ホームページに関する不正リンク(マルウェア)について」 につきまして、その後の調査で判明した事項、および前回告知の補足を以下にご報告いたします。
注意点として、本件は、日本時間の2025年12月23日付で告知いたしました、前回のインシデント とは別件のインシデントであり、日本語版 EmEditor Web サイト(/)のみが影響を受けています。他言語のサイトには影響はありません。
本件により、お客様には多大なるご心配とご迷惑をお掛けしておりますことを、重ねて深くお詫び申し上げます。
1. 影響が発生した可能性のある期間(日本時間/UTC)
※終了時刻は正確ですが、開始時刻はこれより遅い可能性があります。
上記期間中に、EmEditor ホームページ上の
emed64_25.4.4.msiへのリンク(ダウンロード ページやブログ ページ)からインストーラーをダウンロードされた場合、弊社(Emurasoft, Inc.)が提供する正規ファイルではない別ファイルがダウンロードされた可能性があります。なお、この期間は安全側に見積もって広めに設定しており、実際にはこれより短い、特定の時間帯のみであった可能性もあります。
2. 事象の概要
日本語版 EmEditor Web サイトでは、EmEditor デスクトップ インストーラー最新版のダウンロード先として、次の URL がリンクになっていました。
当該期間中、リンクをクリックすると以下のリンクに遷移するよう、第三者により改変されていました。
その結果、マルウェアを含む問題のファイル
emed64_25.4.4.msiがダウンロードされてしまう現象が発生しました。当該ファイルは弊社が作成したものではなく、現在は削除済みです。
また、当該ファイルには弊社の署名ではなく、GRH PSYCHIC SERVICES LTD という別組織のデジタル署名が付与されていることを確認しています。
3. 影響が確認されているファイル
本件で問題となっているファイル
emed64_25.4.4.msiについて、付与されていた電子署名(デジタル署名)は、いずれも Microsoft から発行された署名でした。署名の有効期間が数日間と非常に短いことから、いわゆる開発者向けに近い形で発行された署名である可能性が高いと考えています。弊社では Microsoft に対して問題のファイルを添付して本インシデントを報告し、当該デジタル署名の無効化を要求いたしました。
正しいファイル(弊社正規 EmEditor インストーラー)
emed64_25.4.4.msi09e884896467b8fa574b2adf22d792e039774b8fb1300ec26a59c951937eaa3chttps://www.virustotal.com/gui/file/09e884896467b8fa574b2adf22d792e039774b8fb1300ec26a59c951937eaa3c
問題のあるファイル
emed64_25.4.4.msida59acc764bbd6b576bef6b1b9038f592ad4df0eed894b0fbd3931f733622a1ahttps://www.virustotal.com/gui/file/da59acc764bbd6b576bef6b1b9038f592ad4df0eed894b0fbd3931f733622a1a
4. 影響を受けないケース
以下の場合は 本件の影響を受けません。
emed64_25.4.4.msi以外のファイル (emed64_25.4.3.msiについては前回のインシデントをご確認ください)5. 該当する可能性がある場合の確認方法とお願い
上記期間中に日本語版 EmEditor Web サイト(/)からインストーラーを入手された可能性がある場合は、ダウンロードした
emed64_25.4.4.msiの デジタル署名 および SHA-256 をご確認ください。(可能であれば、インストール/実行の有無もあわせてご確認ください。)
5-1. デジタル署名の確認手順(Windows)
emed64_25.4.4.msi)を右クリックし、[プロパティ] を開きます。※「デジタル署名」タブが表示されない場合、署名が付与されていない、または正しく認識できない可能性があります。その場合も当該ファイルは実行せず削除し、後述の対応をご検討ください。
5-2. SHA-256 の確認手順(Windows/PowerShell)
PowerShell を開き、次を実行してください。
出力された SHA-256 が次と一致することをご確認ください。
09e884896467b8fa574b2adf22d792e039774b8fb1300ec26a59c951937eaa3c署名または SHA-256 が一致しない場合(推奨対応)
デジタル署名が Emurasoft, Inc. ではなく GRH PSYCHIC SERVICES LTD となっている場合、または SHA-256 が一致しない場合、改ざんされたファイル(マルウェアを含む可能性のあるファイル)を入手された恐れがあります。
※企業・組織でご利用の場合は、可能な範囲で 社内のセキュリティ担当部門(CSIRT 等) への連絡も推奨いたします。
5-3. ダウンロードしたファイルを既に削除してしまった場合の対処方法
すでにダウンロードしたファイルを削除してしまっている場合でも、Windows の仕様により、インストール時に参照された MSI が
C:\Windows\Installer配下に別名で残っていることがあります。このフォルダは「隠しフォルダ」であると同時に、OS により保護されたフォルダでもあるため、ファイル エクスプローラー上で通常の操作だけでは見つけにくく、
C:\Windows\Installerをパス指定して直接開く必要があります。フォルダを開いた後は、以下の流れを推奨いたします。なお、この際、MSI ファイルをダブルクリックしたり実行したりしないよう、細心の注意を払ってください。
5-4. コンピューターがマルウェアに感染したかどうかを判別する方法
問題のファイルを実行したとしても、次のような環境では必ずしも感染するとは限りません。
次のような条件が 1 つでも当てはまる場合、感染している可能性が非常に高くなります。
C:\ProgramData\tmp_mojo.logというファイルが存在するGoogle Drive Cachingという名前のタスクがスケジュールされている%LOCALAPPDATA%\Google Drive Caching\フォルダ内にbackground.vbsが存在するGoogle Drive Cachingという名前のブラウザ拡張機能が存在する(たとえ Google 製を名乗っていても)。特に、「すべてのウェブサイト上のデータの読み取りと変更」が可能で、さらにクリップボードにアクセスできる権限を持つ場合cachingdrive[.]com、emeditorde[.]com、emeditorgb[.]com、emeditorjp[.]com、emeditorsb[.]com、emeditorltd[.]com以上のすべての項目に当てはまらない場合、リスクは低くなりますが、ゼロではありません。攻撃の一部はファイルに痕跡を残さず、メモリ内で行われるためです。
6. 確認されている挙動
VirusTotal の検出結果により、
emeditorltd.comへのアクセスが確認されています。このドメイン(
emeditorltd.com)は、弊社(Emurasoft, Inc.)が管理しているドメインではありません。インストーラーを実行したコンピューターがマルウェアに感染し、パスワード等の個人情報が窃取される可能性があります。発生の時期および手口から、前回のインシデントと同様のマルウェアである可能性が高いと考えられます。詳しくは、前回の続報 をご参照ください。7. 問題の本質
前回の続報(同上)にて記載したとおり、残念ながら、私どもソフトウェア会社にとって 「正規インストーラーに酷似した悪意のあるインストーラーの作成・流通そのもの」を完全に防ぐことは困難です。しかしながら、前回と同様、今回の「本質的な問題」は大きく 2 点です。
これらが重なったことで、「公式サイトからダウンロードしたお客様が被害に遭われた」という点に、私どもとして重い責任を感じております。防げなかったのか、という反省も含め、以後の対策につなげてまいります。
7-1. 詳細な事象(EmEditor ホームページにマルウェアを含む問題のファイルが置かれていた件)
マルウェアを含む問題のファイル
emed64_25.4.4.msiが無断で設置されていました。また、テーマ用ファイルであるfunctions[.]phpが無断で改変されていたことが分かっています。この
functions[.]phpにスクリプトが追加されており、EmEditor ホームページ(日本語)内の下記ファイルへのリンク(https://download.emeditor.info/emed64_25.4.4.msi)をユーザーがクリックした際に「横取り」し、当時、問題のあるインストーラーが置かれていた /wp-content/uploads/2025/10/emed64_25.4.4.msi に遷移させるものでした。結果として、ホームページ上のデスクトップ インストーラー
emed64_25.4.4.msiへのリンクをクリックすると、問題のファイルがダウンロードされる状態になっていたことが分かりました。さらに悪質な点として、このスクリプトは 未ログインの一般訪問者にのみ動作 するようになっており、管理者側で確認しても気付きにくい(再現しにくい)状態になっていました。
8. 問題の原因
前回の続報(同上)で書いたのと同様、WordPress の脆弱性が狙われた可能性、または SFTP アカウントが攻撃対象になった可能性が考えられます。
9. 弊社の対応(実施済み/今後)
弊社ではまず、問題のファイル
emed64_25.4.4.msiを削除し、直ちに一時的にすべてのサイトを閉鎖しました。そして、公式サイトを閉鎖したため、X および Facebook を利用して本インシデントの第一報を告知いたしました。
以前の定期バックアップからファイルの変更を調査し、
functions[.]phpの改変を確認しました。しかしながら、X や Facebook のサイトをご存じないお客様のため、サイトを再構築し、すべてのプラグインを再インストールして問題がないことを確認したうえで、サイトを一時的に再公開し、ホームページ最上部に本インシデントについての X での告知へのリンクを掲載しました。
それでも攻撃者により Web ページを書き換えられる危険性が残るため、WordPress の使用を中止し、従来の内容をすべて HTML にエクスポートして、Web サイトを静的サイトに変更しました。現在表示されている英語版と日本語版の EmEditor サイトは、すべて WordPress を使用しない静的サイトとなっているため、安全と言えます。英語および日本語のサイトについては、マルウェアの発見から 2 日以内に静的サイトへ移行することができました。他の言語のサイトも近日中に移行する予定です。
10. 最後に
前回(同上)にも書いたように、マルウェアにより改変されたインストーラーは、実行されると非常に危険な挙動を取り得ます。しかしながら、私どもには「悪意あるインストーラーの作成・配布」そのものを根本的に阻止する手段がないのが実情です。
そのため、私どもができる最大のことは、第1配布元として、弊社 Web サイトからマルウェアが入手されないよう防御し続けることであると考えています。
今回使用されたドメイン(
emeditorltd[.]com)は、前回のインシデントで用いられたemeditorde[.]com、emeditorgb[.]com、emeditorjp[.]com、emeditorsb[.]comとは異なるドメインでした。公式サイトであるemeditor.comに似た名前のドメインが攻撃者により多数所有されていたこと、マルウェアが非常に精巧に作られている点、そして繰り返し攻撃を加えている事実に加え、クリスマス前の週末や正月に攻撃されたことから、攻撃者の高い執念が感じられます。このままでは再び同様の攻撃が行われても不思議ではないため、WordPress という動的サイトから、HTML/CSS/JS ベースの静的サイトへ移行することを決定し、実行しました。
幸いなことに、エムソフト カスタマー センター は攻撃を受けておらず、当社のデータベースも安全でした。お客様データベースがアクセスされた証拠は確認されていません。
前述のとおり、WordPress による動的サイトから、HTML/CSS/JS ベースの静的サイトに移行できたことで、今後、 同様のインシデントが発生する可能性は極めて低くなる見込みです。 これに伴い、フォーラムは、閲覧専用(読み取り専用)になり、新規メンバーの登録は終了しました。何卒、ご了承ください。
本インシデントによる経験が、少しでも他のソフトウェア会社の皆様のお役に立てばという思いから、単なるご報告に留まらず、可能な限りの詳細と考察を記載いたしました。
このたびは、皆様に多大なるご迷惑とご心配をお掛けしましたことを、重ねてお詫び申し上げます。特に、感染の被害に遭われた方々にはご迷惑をお掛けしましたことを深くお詫び申し上げます。
今後とも EmEditor をよろしくお願い申し上げます。
EmEditor v25.4.4 を公開しました
/カテゴリ: EmEditor 本体/作成者: Yutaka Emura本日、EmEditor v25.4.4 を公開しました。v25.4.4 には、以下の不具合修正が含まれています。安定した動作のため、常に最新版に更新してご利用ください。
デスクトップ インストーラー版をご使用の場合は、[ヘルプ]メニューの[更新のチェック]を選択して更新できます。この方法で更新できない場合は、インストーラー(emed64_25.4.4.msi)をダウンロードし、ダウンロードしたインストーラーを実行してください。
MSI ファイルを直接ダウンロードした場合は、必ずデジタル署名の署名者が Emurasoft, Inc. であることを確認してください。デジタル署名を確認するには、次の手順を行います。
EmEditor の更新チェッカーは、自動的に MSI ファイルのデジタル署名の署名者を確認しており、署名者が Emurasoft, Inc. でない場合には更新を中止します。
または、SHA-256 のハッシュ値を次の値と照合することもできます。
09e884896467b8fa574b2adf22d792e039774b8fb1300ec26a59c951937eaa3cf4db8fe290d3d5d44bd08461da24f168a73b085c6d589687f41b0a9a820556e8デスクトップ ポータブル版の場合は、こちらよりダウンロードして更新できます。ストア アプリ版の場合は、数日後に Microsoft ストアからダウンロードまたは更新できます。
【重要】EmEditor インストーラーのダウンロード導線に関するセキュリティ インシデントのお知らせ(続報)
/カテゴリ: 一般/作成者: Yutaka Emura※情報は随時更新しています。最新情報をご確認ください。
平素より EmEditor をご利用いただき、誠にありがとうございます。
すでにお知らせしております「【重要】EmEditor インストーラーのダウンロード導線に関するセキュリティ インシデントのお知らせ」 につきまして、その後の調査で判明した事項、および前回告知の補足を以下にご報告いたします。
本件により、お客様には多大なるご心配とご迷惑をお掛けしておりますことを、重ねて深くお詫び申し上げます。
1. 影響が発生した可能性のある期間(日本時間/UTC)
前回のお知らせでは日本時間(JST)でご案内いたしましたが、補足として世界標準時(UTC)も併記いたします。
上記期間中に、EmEditor ホームページ上のダウンロード導線(例:「今すぐダウンロード」ボタン等)からインストーラーを入手された場合、弊社(Emurasoft, Inc.)が提供する正規ファイルではない別ファイルがダウンロードされた可能性があります。
なお、この期間は安全側に見積もって広めに設定しており、実際にはこれよりも短い、特定の時間帯のみであった可能性もあります。
2. 問題のファイルについて(確認できている差分)
本件で問題となっているファイル
emed64_25.4.3.msiについて、少なくとも 2つの「問題のあるファイル」 が存在することを確認しています。また、問題のあるファイルに付与されていた電子署名(デジタル署名)は、いずれも Microsoft から発行された署名でした。署名の有効期間が数日間と非常に短いことから、いわゆる開発者向けに近い形で発行された署名である可能性が高いと考えています。
弊社では、Microsoft に対して問題のファイルを添付して本インシデントを報告し、当該デジタル署名の無効化を要求いたしました。現在では、これら両方のデジタル署名がすでに無効化されていることを確認しており、当該 MSI を実行しようとすると、デジタル署名が無効である旨の警告メッセージが表示され、容易にはインストールできない状態になっています。
正しいファイル(弊社正規 EmEditor インストーラー)
emed64_25.4.3.msie5f9c1e9b586b59712cefa834b67f829ccbed183c6855040e6d42f0c0c3fcb3ehttps://www.virustotal.com/gui/file/e5f9c1e9b586b59712cefa834b67f829ccbed183c6855040e6d42f0c0c3fcb3e
問題のあるファイル その1
emed64_25.4.3.msi4bea333d3d2f2a32018cd6afe742c3b25bfcc6bfe8963179dad3940305b13c98https://www.virustotal.com/gui/file/4bea333d3d2f2a32018cd6afe742c3b25bfcc6bfe8963179dad3940305b13c98
問題のあるファイル その2
emed64_25.4.3.msi3d1763b037e66bbde222125a21b23fc24abd76ebab40589748ac69e2f37c27fchttps://www.virustotal.com/gui/file/3d1763b037e66bbde222125a21b23fc24abd76ebab40589748ac69e2f37c27fc
3. ダウンロードしたファイルを既に削除してしまった場合の対処方法
ダウンロードしたファイル(
emed64_25.4.3.msi)が手元に残っている場合は、前回もお知らせしましたとおり、デジタル署名または SHA-256 により確認できます。一方で、すでにダウンロードしたファイルを削除してしまっている場合でも、Windows の仕様により、インストール時に参照された MSI が
C:\Windows\Installer配下に別名で残っていることがあります。このフォルダは「隠しフォルダ」であると同時に、OS により保護されたフォルダでもあるため、ファイル エクスプローラー上で通常の操作だけでは見つけにくく、
C:\Windows\Installerをパス指定して直接開く必要があります。フォルダを開いた後は、以下の流れを推奨いたします。なお、この際、MSI ファイルをダブルクリックしたり実行したりしないよう、細心の注意を払ってください。
4. コンピューターがマルウェアに感染したかどうかを判別する方法
問題のファイルを実行したとしても、次のような環境では必ずしも感染するとは限りません。
次のような条件が 1 つでも当てはまる場合、感染している可能性が非常に高くなります。
C:\ProgramData\tmp_mojo.logというファイルが存在するGoogle Drive Cachingという名前のタスクがスケジュールされている%LOCALAPPDATA%\Google Drive Caching\フォルダ内にbackground.vbsが存在するGoogle Drive Cachingという名前のブラウザ拡張機能が存在する(たとえ Google 製を名乗っていても)。特に、「すべてのウェブサイト上のデータの読み取りと変更」が可能で、さらにクリップボードにアクセスできる権限を持つ場合cachingdrive[.]com、emeditorde[.]com、emeditorgb[.]com、emeditorjp[.]com、emeditorsb[.]com以上のすべての項目に当てはまらない場合、リスクは低くなりますが、ゼロではありません。攻撃の一部はファイルに痕跡を残さず、メモリ内で行われるためです。
5. 確認されている挙動(アクセス先ドメイン等)
前回お知らせしたとおり、問題のインストーラーは、実行時に 外部ドメインからファイルを取得して実行する挙動を示すことが分かっています。前回の告知では
emeditorjp[.]comへのアクセスを確認していましたが、その後の調査により、emeditorjp[.]comだけでなくemeditorde[.]com、emeditorgb[.]com、emeditorsb[.]comにもアクセスしていることが分かりました。これら 4 つのドメイン(
emeditorjp[.]com、emeditorde[.]com、emeditorgb[.]com、emeditorsb[.]com)は、いずれも弊社(Emurasoft, Inc.)が管理しているドメインではありません。また、前回お知らせした PowerShell コマンドは外部ドメインからファイルを取得して実行するものであり、これにより、インストーラーを実行したコンピューターがマルウェアに感染し、パスワード等の個人情報が窃取される可能性があることを確認しています。
詳細については、Luca Palermo 氏および Mario Ciccarelli 氏によりまとめられた研究レポートをご参照ください。本レポートは Luca Palermo 氏からご提供いただいたものであり、掲載の許可もいただいております。この場を借りて、ご厚意に感謝申し上げます。
6. 問題の本質(なぜ「見分けにくい」のか)
まず前提として、ドメインや デジタル署名は、一定の条件を満たせば第三者でも取得できてしまう、という現実があります。
さらに技術的な側面として、MSI インストーラーはカスタム アクション機能を利用することで、任意の PowerShell スクリプト等を含めることができてしまいます。したがって、ある程度の知識があれば、今回のように「流通しているインストーラーに似せたもの」に マルウェア ローダーを混入させることが可能です。
また、MSI ではなく EXE の実行型インストーラーであったとしても、PowerShell スクリプト等を含めること自体は容易であり、同様の攻撃が成立し得ます。
つまり、残念ながら、私どもソフトウェア会社にとって 「正規インストーラーに酷似した悪意のあるインストーラーの作成・流通そのもの」を完全に防ぐことは困難です。
不本意ながら、今後も非常に複雑かつ精巧な多段階型の PowerShell マルウェア ローダーを含むインストーラーが作成され得る、という点は現実として認識せざるを得ません。
その上で、今回の「本質的な問題」は大きく 2 点です。
これらが重なったことで、「公式サイトからダウンロードしたお客様が被害に遭われた」という点に、私どもとして重い責任を感じております。防げなかったのか、という反省も含め、以後の対策に繋げてまいります。
6-1. EmEditor ホームページにマルウェアを含む問題のファイルが置かれていた件
マルウェアを含む問題のファイル
emed64_25.4.3.msi以外に、base64[.]phpという別ファイルが、弊社 Web サイトのプラグインのディレクトリに設置されていたことが分かっています。このbase64[.]phpの内容を解析したところ、典型的なバックドア(遠隔コード実行/RCE)であることが判明しました。さらに、WordPress テーマ用ディレクトリに以前から含まれていた
footer[.]phpにスクリプトが追加されていました。このスクリプトは、本来の URL であったhttps://support.emeditor.com/ja/downloads/latest/installer/64へのユーザーのクリックを「横取り」し、当時、問題のあるインストーラーが置かれていたhttps://www.emeditor.com/wp-content/uploads/filebase/emeditor-core/emed64_25.4.3.msiに遷移させるものでした。結果として、ホームページ上の「今すぐダウンロード」ボタンを押すと、問題のファイルがダウンロードされる状態になっていたことが分かりました。
さらに悪質な点として、このスクリプトは 未ログインの一般訪問者にのみ動作するようになっており、管理者側で確認しても気付きにくい(再現しにくい)状態になっていました。そのため、私自身が確認した際にも、リダイレクトが改変されていたことにすぐ気付けませんでした。
7. 問題の原因(現時点の見立て)
原因については現在も調査中であり、結論には至っていません。しかし、可能性としては次の点が考えられます。
WordPress は、本体、プラグイン、テーマ等の複数のパーツから成り立っており、多くの開発者が提供しています。これらのパーツには脆弱性が発見されることも多く、その都度、更新が提供されます。
私どもは平素よりプラグインやテーマの更新を行っていますが、脆弱性が発見されてから長期間にわたり、開発者による更新が提供されないこともあり、脆弱性が残存してしまう場合があります。今回の攻撃は、そのような脆弱性が狙われた可能性が否定できません。
さらに、使用していた SFTP アカウントが攻撃対象となった可能性も否定できません。
8. 弊社の対応(実施済み/今後)
弊社ではまず、問題のファイル
emed64_25.4.3.msiを削除いたしました。加えてファイルの変更ログを調査し、base64[.]phpの追加およびfooter[.]phpの改変を確認しました。base64[.]phpが典型的なバックドアであることを確認したため、全サイトのスキャンを実施しました。その後、サイトを再構築し、すべてのプラグインを再インストールするとともに、不要なプラグインは使用しない方針といたしました。さらに、社内で使用しているコンピューターのスキャン、および全 WordPress サイトならびに関連サイトのログイン パスワード変更も実施しました。
また、従来「今すぐダウンロード」ボタン等で利用していたリンクについては、リダイレクトの使用を中止し、すべて安全なファイルへの直接リンクに置き換えました。ダウンロード ページでは MSI の SHA-256 を明記するとともに、デジタル署名を確認するよう説明を追加しています。
そして、EmEditor ホームページのダウンロード導線をより強固にするため、近い将来、EmEditor のホームページを WordPress とは異なる別のカスタム/静的ホームページへ移行することも検討しております。
9. 最後に
以上のとおり、マルウェアにより改変されたインストーラーは、実行されると非常に危険な挙動を取り得ます。しかしながら、私どもには「悪意あるインストーラーの作成・配布」そのものを根本的に阻止する手段がないのが実情です。
そのため、私どもができる最大のことは、第1配布先として、弊社 Web サイトからマルウェアが入手されないよう防御し続けることであると考えています。
また、Xoops や WordPress などの人気の高い CMS(コンテンツ・マネジメント・システム)は使い勝手が良い反面、拡張性が高いがゆえに脆弱性が見つかることも多く、単にプラグインやテーマの更新だけでは脆弱性を完全に拭い切れない、と今回あらためて感じました。
不幸中の幸いにも、エムソフト カスタマー センターは攻撃を受けておらず、当社のデータベースも安全でした。お客様データベースがアクセスされた証拠は確認されていません。
本インシデントによる経験が、少しでも他のソフトウェア会社の皆様のお役に立てばという思いから、単なるご報告に留まらず、可能な限りの詳細と考察を記載いたしました。
このたびは、皆様に多大なるご迷惑とご心配をお掛けしましたことを、重ねてお詫び申し上げます。特に、感染の被害に遭われた方々にはご迷惑をお掛けしましたことを深くお詫び申し上げます。
今後とも EmEditor をよろしくお願い申し上げます。
【重要】EmEditor インストーラーのダウンロード導線に関するセキュリティ インシデントのお知らせ
/カテゴリ: 一般/作成者: Yutaka Emura※情報は随時更新しています。最新情報をご確認ください。
平素より EmEditor をご利用いただき、誠にありがとうございます。
誠に遺憾ながら、EmEditor 公式サイトにおけるダウンロード導線(ホームページ上の [今すぐダウンロード] ボタン)に関し、第三者による改変が疑われる事象を確認いたしました。
該当期間中に当該ボタンからダウンロードされたインストーラーが、弊社(Emurasoft, Inc.)が提供する正規ファイルではない可能性があります。
お客様には多大なるご心配とご迷惑をお掛けしておりますことを、深くお詫び申し上げます。以下の内容をご確認ください。
1. 影響が発生した可能性のある期間
上記期間中に、EmEditor ホームページ上の [今すぐダウンロード] ボタンからインストーラーをダウンロードされた場合、弊社のデジタル署名が付与されていない別ファイルがダウンロードされた可能性があります。これは広めに見積もっており、実際には、これよりも狭い特定の期間であった可能性があります。
2. 事象の概要(原因の概要)
ホームページの [今すぐダウンロード] ボタンのリンク先は通常、次の URL です。
この URL はリダイレクト(転送)設定になっていますが、当該期間中、リダイレクト設定が第三者により改変された疑いがあり、本来とは異なる URL である下記からファイルがダウンロードされる状態となっていました。
当該ファイルは弊社が作成したものではなく、現在は削除済みです。
その結果、ダウンロードされたファイルには弊社の署名ではなく、WALSHAM INVESTMENTS LIMITED という別組織のデジタル署名が付与されていることを確認しています。
※本件は日本語ページに限らず、以下のような他言語ページの同種 URL も影響を受ける可能性があります。
3. 影響が確認されているファイル
現時点で影響が確認されているのは、次のファイルのみです。
正しいファイル(弊社正規)
e5f9c1e9b586b59712cefa834b67f829ccbed183c6855040e6d42f0c0c3fcb3e問題のあるファイル(改ざんの可能性)
4. 影響を受けないケース
以下の場合は、本件の影響を受けません。
download.emeditor.infoから直接ダウンロードされた場合例: https://download.emeditor.info/emed64_25.4.3.msi
5. 該当する可能性がある場合の確認方法とお願い
上記期間中に [今すぐダウンロード] からインストーラーを入手された可能性がある場合は、ダウンロードした
emed64_25.4.3.msiの デジタル署名および SHA-256 をご確認ください。(可能であれば、インストール/実行の有無もあわせてご確認ください。)
5-1. デジタル署名の確認手順(Windows)
emed64_25.4.3.msi)を右クリックし、[プロパティ] を開きます。※「デジタル署名」タブが表示されない場合、署名が付与されていない、または正しく認識できない可能性があります。その場合も、当該ファイルは実行せず削除し、後述の対応をご検討ください。
5-2. SHA-256 の確認手順(Windows / PowerShell)
PowerShell を開き、次を実行してください。
出力された SHA-256 が次と一致することをご確認ください。
e5f9c1e9b586b59712cefa834b67f829ccbed183c6855040e6d42f0c0c3fcb3e署名または SHA-256 が一致しない場合(推奨対応)
デジタル署名が Emurasoft, Inc. ではなく WALSHAM INVESTMENTS LIMITED となっている場合、または SHA-256 が一致しない場合、改ざんされたファイル(マルウェアを含む可能性のあるファイル)を入手された恐れがあります。
※企業・組織でご利用の場合は、可能な範囲で 社内のセキュリティ担当部門(CSIRT 等)への連絡も推奨いたします。
6. 現時点で確認されている挙動について
本件で問題となる可能性のあるインストーラーは、実行時に powershell で、
emeditorjp[.]comからファイルを取得して実行しようとします。emeditorjp[.]com は弊社が管理するドメインではありません。
また、当該インストーラーは EmEditor 本体のインストール自体は正常に進み、正規の EmEditor ファイルがインストールされるため、問題に気付きにくい可能性があります。
7. 現在の対応状況と今後のご報告
現在、事実関係の確認および影響範囲の調査を継続しております。進展があり次第、本ページ等にて速やかにご報告いたします。
弊社では本事象を厳粛に受け止め、原因究明と再発防止に向けて必要な対策を講じてまいります。
このたびは、皆様に多大なるご迷惑とご心配をお掛けしましたことを、重ねて深くお詫び申し上げます。
今後とも EmEditor をよろしくお願い申し上げます。
EmEditor v25.4.3 を公開しました
/カテゴリ: EmEditor 本体/作成者: Yutaka Emura本日、EmEditor v25.4.3 を公開しました。v25.4.3 には、以下の不具合修正が含まれています。安定した動作のため、常に最新版に更新してご利用ください。
デスクトップ インストーラー版をご使用の場合は、[ヘルプ] メニューの [更新のチェック] を選択して更新できます。この方法で更新できない場合は、最新版をダウンロードし、そのダウンロードしたインストーラーを実行してください。デスクトップ ポータブル版の場合は、こちらよりダウンロードして更新できます。ストアアプリ版の場合は、数日後、Microsoft ストアからダウンロードまたは更新できます。
EmEditor v25.4.2 を公開しました
/カテゴリ: EmEditor 本体/作成者: Yutaka Emura本日、EmEditor v25.4.2 を公開しました。
v25.4.2 には、以下の不具合修正が含まれています。安定した動作のため、常に最新版に更新してご利用ください。
デスクトップ インストーラー版をご使用の場合は、[ヘルプ] メニューの [更新のチェック] を選択して更新できます。この方法で更新できない場合は、最新版をダウンロードし、そのダウンロードしたインストーラーを実行してください。デスクトップ ポータブル版の場合は、こちらよりダウンロードして更新できます。ストアアプリ版の場合は、数日後、Microsoft ストアからダウンロードまたは更新できます。