Emurasoft logo

今回のハッキングの事件についての調査結果のご報告

/0 コメント/カテゴリ: /作成者:

今回のハッキングの事件に関して、お客様には大変ご迷惑をお掛けして申し訳ありませんでした。

昨日、JPCERT/CC (コーディネーションセンター) 様より、調査の最終的なご報告をいただきました。
(以下の文章で、IPアドレスの一部は、個人情報の保護の観点から # で隠しています。)

不正侵入の原因

残っていた各種ログからは、不正侵入の原因について特定できませんでした。ただ、攻撃の痕跡とて、203.194.144.# からの不審なアクセス (Webアクセス、FTPのログイン試行) を確認しており、8月上旬から攻撃の試行が行われていた痕跡を確認しました。しかし、これだけで、不正侵入の原因までは特定できませんでした。なお、FTPのログイン試行はいずれも成功していません。

不正誘導について

残っていたログから、以下の 2回のアクセスはハッカーにより不正に置かれた .htaccess ファイルによってリダイレクトされた、不正なファイルへのアクセスだと考えられます。

#.#.#.# - - [18/Aug/2014:05:41:38 -0500] "GET /pub/updates/emed64_updates_ja.txt HTTP/1.1" 200 884 "-" "AdvancedInstaller"
#.#.#.# - - [18/Aug/2014:06:19:04 -0500] "GET /pub/updates/emed64_updates_ja.txt HTTP/1.1" 200 884 "-" "AdvancedInstaller"

これらのアクセスは、.htaccess に記述されていた IP アドレスの一覧の範囲と一致し、問題のあった時間帯とも一致していて、しかもアクセス ログに記録されているバイト数 (884) が、同ファイルへの他の時間帯、他のIPアドレスからのアクセスに記録されているバイト数と異なっていました。

つまり、通常は、

#.#.#.# - - [10/Aug/2014:03:45:09 -0500] "GET /pub/updates/emed64_updates_ja.txt HTTP/1.1" 200 855 "-" "AdvancedInstaller"

のように、855 バイトと表示されるはずですが、上記 2 回のアクセスだけ、ファイルのバイト数が 884 バイトとなっていました。

上記 2件 の IP アドレスの発信元のお客様には、JPCERT/CC 様より連絡を行っていただきましたが、マルウェアに感染といった事件は発生していませんでした。アクセスログには、実際のインストールが行われなくても、更新のチェックを行うだけでも、上のようにアクセス ログに記録が残ります。

今後の対策について

弊社では、使用している WordPress のプラグインとテーマの更新を毎日行うといった基本的な対応に加えて、定期的に、マルウェア スキャンの実施、サーバー上のファイルの変更の監視、アクセスログの監視を行い、不審な挙動に伴う IP アドレスについてはアクセスをブロックするといった処置をより積極的に行うことにしました。また、8月29日より、emeditor.com のサイト全体を SSL 暗号化通信に移行し、ハッカーによる個人情報の盗聴を防止しています。さらに、本サイト内のフォーラムを、他のサイトへ移動、またはメーリング リストへの移行を検討しております。

更新チェッカーを作成するのに使用した Advanced Installer の次期バージョンでは、更新インストーラーに弊社のデジタル署名が無ければインストールがブロックされ、より安全になります。弊社でも Advanced Installer の RC 版のテストを行いましたが、確かに異なるデジタル署名の更新インストーラーは、インストールがブロックされることを確認しました。そこで、将来の EmEditor のバージョンでは、Advanced Installer の次期バージョンのより安全な更新チェッカーを使用して更新チェッカーの機能を復活する予定です。

皆様には大変ご迷惑をお掛けして申し訳ありませんでした。

今後もよろしくお願い申し上げます。
参考:

新機能:フィルター バーを追加しました (EmEditor v14.6.0 beta 11)

/0 コメント/カテゴリ: /作成者:

本日、EmEditor v14.6.0 beta 11 を公開いたしました。

v14.6.0 beta 8 からの主な変更点は、次の通りです。

  • 新しくフィルター バーを追加しました。フィルター バーを使用すると、指定した文字列に一致する行のみを表示することができます。
  • [フィルター ツール バーにフォーカスを設定する] コマンド、[フィルター ツール バーを閉じる] コマンド、[フィルター ツール バーの表示/非表示の切り替え] コマンドを追加しました。
  • ツール バーに [フィルター ツール バー] ボタンを追加しました。
  • 既定のキーボード ショートカットとして、Ctrl+Shift+D を [フィルター ツール バーにフォーカスを設定する] コマンドに割り当てました。
  • コマンドラインの /ff オプションで、文頭にカーソルが移動するのをやめました。
  • その他、不具合の修正。

正式版の公開前にできるだけ多くの不具合を発見したいため、このベータ版をお試しいただき、不具合が見つかりましたらご報告していただけますようお願い申し上げます。

ダウンロードや変更点は、ベータ版フォーラムの「EmEditor v14.6.0 beta 11 を公開しました (新機能: フィルター バー)」をご覧ください。

今後も EmEditor を引き続きご愛顧くださいますよう、どうぞよろしくお願い申し上げます。

EmEditor v14.6.0 beta 8 を公開しました

/0 コメント/カテゴリ: /作成者:

本日、EmEditor v14.6.0 beta 8 を公開いたしました。

v14.6.0 beta 4 からの主な変更点は、次の通りです。

  • [検索] ダイアログ ボックスに [選択範囲のみ] チェックボックスを追加しました([置換] ダイアログ ボックスには以前から存在しました)。これにより、例えば、CSV ファイルの特定の列のみから検索することができるようになりました。
  • 設定のプロパティの [表示] の一覧に、「検索範囲」項目が追加されました。選択範囲を指定した検索の際、ここで指定した色で検索範囲が表示され、検索語の選択テキストと区別して表示されます。
  • ルーラー/書き換え禁止ヘディングのダブルクリックで、ヘディングを除く部分の列選択になりました。トリプルクリックで、すべての部分の列選択になりました。また、ダブル/トリプルクリックの後、マウスボタンを押した状態で、マウスを左右に動かすことで、複数の列を選択できるようになりました。
  • ルーラー/ヘディングをダブルクリックした時に、列が自動調節されないようになりました。
  • CSVモードで、ルーラー桁数表示を各列の左端からの相対表示にしました。

 

正式版の公開前にできるだけ多くの不具合を発見したいため、このベータ版をお試しいただき、不具合が見つかりましたらご報告していただけますようお願い申し上げます。

ダウンロードや変更点は、ベータ版フォーラムの「EmEditor v14.6.0 beta 8 を公開しました」をご覧ください。

今後も EmEditor を引き続きご愛顧くださいますよう、どうぞよろしくお願い申し上げます。

EmEditor v14.6.0 beta 4 を公開しました

/0 コメント/カテゴリ: /作成者:

本日、EmEditor v14.6.0 beta 4 を公開いたしました。

v14.6.0 beta 1 からの主な変更点は、次の通りです。

  • [複数列で並べ替え] コマンドが追加されました。
  • [カスタマイズ] ダイアログの [CSV] タブに、[ヘディングとルーラーでのみセパレーターをマウスでドラッグできるようにする] と [ヘディングは書き換え禁止] チェック ボックスを追加しました。
  • ヘディング ポップアップ メニューに [ヘディングは書き換え禁止] コマンドを追加しました。
  • 設定のプロパティの [表示] タブに [ヘディング] が追加されました。
  • [不要な2重引用符を削除] コマンドを追加しました。
  • [カスタマイズ] ダイアログの [CSV] タブに [検出最大行数]、[検出最小区切り数] チェック ボックスが追加されました。
  • [区切り位置を調節] コマンドは、[区切り位置を調節 (文書全体)] コマンドと [区切り位置を調節 (表示されている行のみ)] コマンドに分かれました。
  • ヘディングへのドロップが禁止するようにしました。

正式版の公開前にできるだけ多くの不具合を発見したいため、このベータ版をお試しいただき、不具合が見つかりましたらご報告していただけますようお願い申し上げます。

ダウンロードや変更点は、ベータ版フォーラムの「EmEditor v14.6.0 beta 4 を公開しました」をご覧ください。

今後も EmEditor を引き続きご愛顧くださいますよう、どうぞよろしくお願い申し上げます。

窓の杜で EmEditor が紹介されました

/0 コメント/カテゴリ: /作成者:

EmEditor v14.6.0 ベータ版が窓の杜で紹介されました。

「EmEditor Professional」v14.6.0のベータ版が公開、CSV編集関連の機能を大幅に強化
検索キーワードを含む行を抽出して新規ドキュメントを作成する[抽出]コマンドも

 

 

EmEditor v14.6.0 beta 1 を公開しました

/0 コメント/カテゴリ: /作成者:

本日、EmEditor v14.6.0 beta 1 を公開いたしました。

従来、「区切り値」または「CSV/TSV/DSV」という用語を使用していましたが、今後は、カンマ、タブなどの区切り文字の種類に関わらず、複数のフィールドが特定の文字列で区切られたファイル (または文書) を、総称して「CSV」と呼ぶことにします。

v14.5.4 からの主な変更点は、次の通りです。

  • 新たに、CSV/並べ替えツール バーが追加されました。CSV/並べ替えツール バーで、CSV モードの変更、CSV の変換、固定幅カラムに変換、各種カラム/セパレータ関連のコマンド、並べ替えコマンド、[重複行を削除] コマンド、行番号、ルーラーの表示/非表示切り替え、ヘディングの設定を行えるようになりました。
  • 次のコマンドは、Shift を押しながら実行することで、現在のグループ内のすべての文書に対して適用されます — [通常モード]、CSVモード切替各コマンド、指定するCSVに変換する各コマンド、[固定幅カラムに変換]、各種並べ替えコマンド、[重複行を削除]、[ヘディング 0~4]、[区切り位置を調節]、[自動的にセパレーターを追加]、[すべてのセパレーターを削除]
  • [カスタマイズ] ダイアログに [CSV] タブが追加されました。ここで、自由に CSV フォーマットを追加、編集できるようになりました。現在のところ、定義できる CSV フォーマットの種類は 8 個までとなっています。区切りには、39文字までの文字列を指定できます。[2重引用符内の区切り文字を許可]、[2重引用符内の改行を許可] チェック ボックスが追加され、ヘディングの行数が指定できるようになりました。
  • 設定のプロパティの [ファイル] タブに、[検出するCSV] リスト ボックスが追加され、[CSV (カンマ区切り) を検出] チェック ボックス、[CSV (カンマ区切り) を検出] チェック ボックス、[DSV (ユーザー定義区切り) を検出] チェック ボックス、[区切り] テキスト ボックスは廃止になりました。
  • [検索] ダイアログに [抽出] ボタンが追加されました。[抽出] ボタンを押すと、検索文字列を含む行を抽出して新規作成します。

正式版の公開前にできるだけ多くの不具合を発見したいため、このベータ版をお試しいただき、不具合が見つかりましたらご報告していただけますようお願い申し上げます。

ダウンロードや変更点は、ベータ版フォーラムの「EmEditor v14.6.0 beta 1 を公開しました」をご覧ください。

今後も EmEditor を引き続きご愛顧くださいますよう、どうぞよろしくお願い申し上げます。

Emurasoft logo

EmEditor ホームページ全体が SSL 暗号化通信に移行しました

/0 コメント/カテゴリ: /作成者:

日頃より、EmEditor をご利用いただき、誠にありがとうございます。

8月29日に、すべての外国語ページを含む EmEditor ホーム ページ全体が SSL 暗号化通信で保護されました。これにより、ホーム ページ上の通信が暗号化され、ハッカーによる個人情報の盗聴から保護されるようになりました。日本語の EmEditor ホーム ページの URL は、https://jp.emeditor.com/ に変更になりました (先頭の http が https に変更されました)。従来の URL にアクセスしても、新しい URL に自動的に変更されます。

これに伴い、EmEditor ホーム ページの IP アドレスは変更になっています。これらの移行のため、一部の時間帯においては、EmEditor ホーム ページへの接続ができなかったり、正しく表示されなかったことがありました。事後報告になったことをお詫びいたします。

SSL 暗号化通信に移行後、ライブラリのファイル ページが正しく表示されないという不具合が発生しました。そのため、現在のところ、ファイル一覧をクリックすると、ファイルの詳細ページをスキップして、すぐにダウンロードが開始するように動作を変更しています。しばらくの間、調整のために、ライブラリに関しては不具合が発生する可能性がありますがご了承ください。

皆様には大変ご迷惑をお掛けして申し訳ありません。

なお、エムソフト カスタマー センター (https://support.emeditor.com/?lid=2) は、従来から SSL により保護されています。

今後もよろしくお願い申し上げます。

Emurasoft logo

今回のハッカーによる攻撃の詳細の続報

/0 コメント/カテゴリ: /作成者:

今回のハッキングの事件に関して、お客様には大変ご迷惑をお掛けして申し訳ありませんでした。

この度、JPCERT/CC (コーディネーションセンター) 様、IPA情報処理推進機構様、その他多くのセキュリティ関連会社様より、電話会議やメールを通して、ご協力やご助言を得ることができ、大変感謝しております。サーバー管理会社の協力により、多くの関連ログが取得できたため、問題の解析が進む見込みです。

更新チェッカーを作成している Advanced Installer の作成元の会社から、マルウェアのインストールの可能性について回答がありました。マルウェアがインストールされる可能性はあるが、マルウェアならば、Emurasoft, Inc. が発行元のデジタル署名が付いていないはずなので、インストーラーのダイアログや UAC (ユーザーアカウント制御) ダイアログが表示されるはずだとのことです。

前回のブログの質問と回答集以外にも、お客様からは、さらに多くのご質問をいただいております。お客様にさらにご理解いただき、また他のウェブ サイト管理者の皆様のご参考になればと思い、ここに追加の情報を公開することに致しました。

1. マルウェアがインストールされたかどうかを調べる方法は、ウィルス検査以外にありますか?

更新をダウンロードすると、通常、C:\ProgramData\Emurasoft\EmEditor\updates\ に更新定義ファイルが保存され、その中にサブフォルダが作成されて、更新インストーラーも保存されます。このフォルダの実際のパスは、[ヘルプ] メニューの [更新チェッカーのカスタマイズ] を選択すると、[更新オプション] ダイアログが表示されます。この中の [ダウンロード フォルダ] で確認していただけます。万一、このフォルダ内のサブフォルダに保存されているインストーラーに、Emurasoft, Inc. が発行元のデジタル署名が付いていない場合には、マルウェアが保存された可能性があります。万一、このようなファイルを見つけた場合には、実行せずに、[email protected] 宛てに速やかにご連絡ください。ただ、巧妙なマルウェアなら痕跡を残さずに実行された可能性もあることが考えられます。

customier_updater_dlg

2. 更新時に、何かダイアログや UAC (ユーザーアカウント制御) ダイアログが表示されるでしょうか?

EmEditor v14.5.0 以上が既にインストールされた状態で、Emurasoft, Inc. が発行元のデジタル署名が付いた更新インストーラーの場合は、新たなダイアログや UAC (ユーザーアカウント制御) ダイアログは表示されません。

EmEditor v14.5.0 以上が既にインストールされた状態で、Emurasoft, Inc. が発行元のデジタル署名が付いていない更新インストーラーの場合は、新たなダイアログが表示されるはずで、コンピューター本体に変更が加えられる場合には、通常は UAC (ユーザーアカウント制御) ダイアログが表示されます。

EmEditor v14.5.0 未満が既にインストールされた状態での更新では、どのような場合でも、新たなダイアログが表示されるはずで、コンピューター本体に変更を加えられる場合には、通常は UAC (ユーザーアカウント制御) ダイアログが表示されます。

3. ブログに掲載されていた IP アドレス一覧に、私の IP が含まれている場合、EmEditor サーバーにアクセスされたという意味でしょうか?

いいえ、ブログに掲載されていた IP アドレス一覧に、お客様の IP アドレスが含まれていたからといって、EmEditor サーバーにアクセスされたことを意味しているわけではありません。この IP アドレスの一覧は、ハッカーが置いた .htaccess ファイルから書き写したもので、アクセス ログとは全く別のものです。.htaccess ファイルは、簡単に書くと、通信をリダイレクトする IP アドレスを指定しているファイルです。つまり、ここに書かれている IP アドレスのみ、マルウェアの可能性のあるファイルのインストールを指示していたということになります。.htaccess は、ハッカーが記述したファイルで、弊社が書いたファイルではありません。

4. 私の IP が EmEditor サーバーにアクセスされたかを調べることはできますか?

はい。前回のご報告の後、サーバー管理会社の協力を得て、問題が発生した日時の前後のアクセス ログ、エラー ログ、FTP ログなどを取得することができました。アクセス ログを調べれば、お客様の IP アドレスでアクセスされたかどうかを調べることができます。ただ、巧妙なハッカーなら、アクセス ログを書き換えていたことも考えられるため、これで完全に調べられるとは言い切れないものがあります。もし弊社で調査を希望される場合は、お客様の IP アドレスを添えて、[email protected] 宛てにお問い合わせください。

5. EmEditor Free として使用している場合でも問題の可能性がありますか?

EmEditor Free として使用されている場合は、更新チェックの機能が無効になっているため、問題の可能性はありません。

6. 更新チェックの機能を無効にするには、どうしたらいいでしょうか?

本日公開した v14.5.4 に更新していただければ、更新チェックの機能は完全に取り除かれます。EmEditor を使用されている皆様は、この最新版に更新されることを強くお勧めします。更新される場合、EmEditor の更新チェックの機能は既に使用できなくなっているため、ダウンロード ページより最新版をダウンロードして更新してください。なお、既存のバージョンで、更新チェックを無効にされたい場合は、[ヘルプ] メニューの [更新チェッカーのカスタマイズ] で、[更新を自動的にチェックしない] を選択していただくことでも可能です。また、EmEditor のインストールの段階で、カスタム インストールを選択して、更新チェックを無効にされた場合、および INI ファイルを使用するポータブル版の場合は、更新チェッカーは完全に無効になっています。

7. 更新チェッカーの今後について

更新チェッカーを作成するのに使用した Advanced Installer の開発元からは、更新チェッカーのセキュリティ改善に向けて前向きな回答をいただいています。改善の方法としては、デジタル署名で確認する方法、および設定定義ファイルをプライベートキーで署名する方法の 2 種類が考えられるとの回答を得ています。本サーバーの安全と更新チェッカーの改善が確認できれば、更新チェッカーの利用が再開できるようにしたいと考えています。

8. 今後の対策について

サーバー管理会社によるクリーンアップ作業は終了し、現在は正常だという回答を得ています。また、古い XOOPS を使用していた外国語サイト、および EmFTP のサイトはすべて削除いたしました。

現在、JPCERT/CC 様には、サーバーのアクセス ログなどをお渡しして、問題の解析をお願いしています。何かハッカーの手口や原因がもっと詳しくわかれば、対策は行いやすくなります。しかし、ハッカーがどのように悪意のあるファイルを置いたかを特定するのは、難しいのではないかと思います。

サーバー会社から取得した弊社が所有するドメインのすべての FTP ログによると、弊社の FTP サーバーは、一般には公開されていないにも関わらず、8月1日から19日までの間だけで、201個もの異なる IP アドレスから不正なログインが試みられています。中には数分毎にアクセスを試みている総当たり攻撃が確認されています。なお、ログによれば、不正なログインは 1 つも成功していません。しかし、総当たり攻撃から防ぐため、問題の IP アドレスからのアクセスを禁止する処理を行うことにしました。

さらに、サーバー上の不要なファイルを整理、削除して、必要なファイルだけを置くようにし、悪意のあるファイルが置かれた場合でもすぐに発見できるように監視を続けていく所存です。

以上です。

皆様には大変ご迷惑をお掛けして申し訳ありませんでした。

今後もよろしくお願い申し上げます。

参考:

EmEditor icon

EmEditor v14.5.4 を公開しました

/0 コメント/カテゴリ: /作成者:

先日の更新チェッカーを利用したハッキングの事件に関して、お客様には大変ご迷惑をお掛けして申し訳ありませんでした。

本事件に対応し、念のため、本サーバーと更新チェッカーの安全が確認されるまでの間、EmEditor の更新チェッカーの機能を無効にすることに決定しました。EmEditor をご利用の皆様は、本バージョンに更新されることを強くお勧めします。

お客様の安全のため、サーバーにあった更新定義ファイルは削除させていただきました。そのため、古いバージョンの更新チェッカーは利用できなくなりました。古いバージョンから更新のチェックを行おうとすると、「更新設定ファイルが不正または見つかりません。…」というメッセージが表示されますが、不具合や異常ではありませんEmEditor の最新版へは、こちらよりダウンロードして、更新していただけますようお願い申し上げます。

v14.5.3 からの主な変更点は、次の通りです。

機能の削除

  • 更新チェッカーを無効にしました。既定では、[ヘルプ] メニューから [更新のチェック] と [更新チェッカーのカスタマイズ] コマンドは取り除きました。ただし、将来、更新チェッカーが再開することも考慮して、メニューでカスタマイズして使っている場合は、これらのコマンドが残っていますが、グレーで表示され無効になります。[すべてのコマンド] や [クイック起動] にもこれらのコマンドが残っていますが、実行はできません。

機能の追加

不具合の修正

EmEditor v14 の機能全体については、こちらをご覧ください。

EmEditor v14 は、こちらよりダウンロードしていただけます。

皆様には大変ご迷惑をお掛けして申し訳ありませんでした。

今後も EmEditor を引き続きご愛顧くださいますよう、どうぞよろしくお願い申し上げます。

ハッキングについての詳細情報

Emurasoft logo

今回のハッカーによる攻撃の詳細について

/0 コメント/カテゴリ: /作成者:

今回のハッキングの事件に関して、お客様には大変ご迷惑をお掛けして申し訳ありませんでした。

EmEditor は、お客様のご意見を承りながら、私が何年間も掛けて大切に創り上げて参りましたプログラムです。皆様に安心して使っていただけるはずだった更新チェッカーがハッカーに悪用されたことについて、大変遺憾に思っておりますと共に、お客様には大変ご迷惑をお掛けして申し訳なく思っております。

お客様より、多くのご質問を頂いております。また、情報をもっと公開すべきというご意見も頂いております。当初は、ハッキングの内容まで詳細な情報を公開することには不安があったのですが、それよりも情報を共有することにより、お客様にさらにご理解いただき、また他のウェブ サイト管理者の皆様のご参考になればと思い、多くの情報を公開することに致しました。

皆様からのご質問と回答についてまとめました。

1. ハッカーの手法について

EmEditor の更新チェッカーは、Advanced Installer で作成された更新チェッカーを使用しています。EmEditor でのファイル名は、 eeupdate.exe です。この更新チェッカーは、既定の設定では、定期的に、 http://www.emeditor.com/pub/updates/(更新定義ファイル) をチェックしています。更新定義ファイルのファイル名は、emed32_updates.txt、emed64_updates.txt、emed32_updates_ja.txt、emed64_updates_ja.txt のいずれかになります。これらの更新定義ファイルには、インストールするインストーラーへのパス、更新内容の説明、ファイルのサイズ、更新日など、インストーラーの詳細が記述されています。(詳しくは、 http://www.advancedinstaller.com/user-guide/updates-configuration.html を参照してください)

今回の事件では、/pub/updates/ のフォルダに、ハッカーにより .htaccess ファイルが置かれていました。このファイルには、以下の内容が記述されていました。

——–
SetEnvIf Remote_Addr “106\.188\.131\.[0-9]+” install
SetEnvIf Remote_Addr “133\.6\.94\.[0-9]+” install
(… 同様に70行 …)
SetEnvIf Remote_Addr “124\.248\.207\.[0-9]+” install
RewriteEngine on
RewriteCond %{ENV:install} =1
RewriteRule (.*\.txt)$ /pub/rabe/editor.txt [L]
———

そして、ハッカーによって置かれたもう1つのファイルは、 /pub/rabe/editor.txt でした。これは、実際の更新定義ファイルに似ていました。しかし、その時は特に問題だと思わず、単純に削除してしまいました。ファイルを削除してしまったため、サーバー管理者に問い合わせて、バックアップを探したのですが、見つかりませんでした。もし、このファイルを削除せずにバックアップを取っておけば、さらに多くの情報を見つけることができたので、これについては、非常に残念で悔いが残っています。大変、申し訳ありません。

したがって、/pub/rabe/editor.txt にある更新定義ファイルの内容によっては、実際にマルウェアだったのか、無害のファイルだったのか、あるいは、ハッカーが実際のマルウェアを導入する前のテスト段階だったのか、現在のところ、断定できないでいます。

2. 自動インストールは有効にしておらず、更新チェックが有効の場合には、問題はありませんか?

実際にインストールが行われていなければ問題はありません。自動インストールは、既定では無効になっています。自動インストールが有効になっていなければ、お客様が、手動で、更新を指定しない限り、自動的にインストールが行われることはありません。更新をチェックしただけで実際の更新 (インストール) を行っていなければ、問題はありません。

3. 更新チェックの実行条件は?

更新チェックは、EmEditor を起動時で、指定されている日数間隔で行われます。(既定は、EmEditor のバージョンにより 1日~5日)。EmEditor を起動しない限り、更新チェックが実行されることはありません。

4. 感染リスクのある時間帯の判断根拠は?

私が問題のファイル (.htaccess と editor.txt) の存在に気付いて削除したのは、日本時間の 8/19 午前 3:20 頃でした。サーバー会社による最後のバックアップが取られたのが、8/18 午後 10:36 でしたが、そのバックアップにこれらのファイルが存在しなかったため、問題のファイルが置かれた時間は、最後にバックアップが取られた後ということになります。

5. 現在公表されている以前の時間帯で、更新チェックの問題が無かったことは確認済みですか?

これについては、残念ながら、確実に問題がなかったと断言はできません。しかし、毎日、サーバー上のファイルの変更は監視していて、以前には、このような問題には気付いたことがありませんでした。

6. 感染するウイルスの種類は?

問題のファイル editor.txt を削除してしまったため、本当にマルウェアがリダイレクトされていたかも判断できない状態です。したがって、感染されるウィルスの種類も特定できていません。実際にはマルウェアやウィルスではなかった可能性があります。

7. 実際にマルウェアに感染された組織は?

現在のところ、マルウェアやウィルスに感染された事例は1つの報告もありません。また、実際にマルウェアやウィルスが存在したかどうかも確認できていません。マルウェアやウィルスの感染あくまでも可能性であり、実際には、マルウェアやウィルスは存在せず、ハッカーのテスト段階でウィルス感染を未然に阻止できている可能性があることも考えられます。

8. 問題のファイルを提供できますか?

.htaccess ファイルについては手元にありますが、個々の IP アドレスが個人情報に該当しますので、お教えできるのは、上記の内容ということでご理解いただけると幸いです。もう1つのファイルである editor.txt については、削除してしまったため、バックアップにも見つからなかったため、残念ながら、手元にない状態です。これついては、本当に申し訳ありません。

9. ウイルスが置かれた原因は、XOOPSのどういう脆弱性が攻撃された可能性が高いのでしょうか?

まず最初に、ハッカーが実際に XOOPS の脆弱性を利用したかどうかについても、実際には判断できない状態ですが、可能性として書かせていただきます。

現在では削除されている、ロシア語、チェコ語、イタリア語、スペイン語、フランス語の EmEditor ウェブ サイトでは、XOOPS Cube 2.0.16a JP (2006年) が使用されていました。XOOPS には、以下のような脆弱性が報告されていますが、XOOPS にはいくつかの派生があり、必ずしもすべての事例が当てはまるとは限らないのでご留意ください。

http://www.exploit-db.com/exploits/32097

http://www.exploit-db.com/exploits/32098

http://www.exploit-db.com/exploits/5057

http://www.exploit-db.com/search/?action=search&filter_page=1&filter_description=xoops&filter_author=&filter_platform=0&filter_type=0&filter_lang_id=0&filter_exploit_text=&filter_port=0&filter_osvdb=&filter_cve=

XOOPS Cube 2.0.16a JP については、XOOPS Cube の日本バージョンの最後のバージョンで、開発が停止していました。そこで、新しい XOOPS の別の派生バージョンへは、互換性の問題で更新ができないままでいました。

10. IP アドレス一覧に私の IP が含まれていなければ問題はありませんか?

IP アドレス一覧にお客様の IP アドレスが含まれていなければ、更新チェックを行ったとしても、問題はなかったと考えられます。

11. EmEditor ホーム ページにアクセスしただけでウィルスに感染するのでしょうか?

EmEditor ホーム ページにアクセスしただけでウィルスに感染するというとは考えられません。

12. 全ファイルスキャンをすると時間がかかるため、まず最初に確認した方がよいフォルダがあれば、教えていただけると助かります。

残念ながら、実際にマルウェアが存在したかどうかもわからないため、もしマルウェアに感染されたとしても、どこにマルウェアがインストールされているかもわからない状態です。大変申し訳ありません。

13. ウィルススキャンで何も発見されなければ問題ないのでしょうか? ウィルススキャンソフトによっては検知できないということはありませんか。

残念ながら、マルウェアだったとしても、どのようなウィルスが存在したかを特定することはできません。通常に知られているウィルスであれば、Windows に付属、または市販のセキュリティ ソフトウェアで検出できると考えられます。

14. 今後の対策について

今回、問題の可能性が高い XOOPS によるサイトをすべて削除いたしましたが、ハッカーがどのような手法で悪意のあるファイルを置いたのかが分からない状態です。英語、日本語のサイトは WordPress を用いて運営されています。WordPress は、常に自動的に最新のバージョンに更新を行っており、使用しているプラグイン、テーマも毎日、常に最新版に更新を行っています。また、iThemes Security プラグインを用いて、セキュリティ レベルをできるだけ上げていますが、ハッカーの手口は非常に巧妙で、どのような対策を行っても、ハッカーを 100% 完全に防ぐことは、残念ながら難しいと言えます。そこで、WordPress を使用しないウェブサイトへの移行、サーバー ホスト会社の変更なども視野に入れて、対策を検討しています。

また、更新チェッカーを作成している Advanced Installer の作成元の会社には、状況を説明して、次の 2 つの質問を行っているところです。

(1) 更新チェッカーによりマルウェアが実際にインストールされる可能性はあるかどうか。

(2) 更新チェッカーにより、実行する更新プログラムが、デジタル署名により開発元のプログラムであることを確認してから更新する手法は可能かどうか。

デジタル署名の確認方法が可能であれば、将来のバージョンではより安心して更新できるようになるはずです。

以上です。

皆様には大変ご迷惑をお掛けして申し訳ありませんでした。

今後もよろしくお願い申し上げます。