今回のハッキングの事件に関して、お客様には大変ご迷惑をお掛けして申し訳ありませんでした。
この度、JPCERT/CC (コーディネーションセンター) 様、IPA情報処理推進機構様、その他多くのセキュリティ関連会社様より、電話会議やメールを通して、ご協力やご助言を得ることができ、大変感謝しております。サーバー管理会社の協力により、多くの関連ログが取得できたため、問題の解析が進む見込みです。
更新チェッカーを作成している Advanced Installer の作成元の会社から、マルウェアのインストールの可能性について回答がありました。マルウェアがインストールされる可能性はあるが、マルウェアならば、Emurasoft, Inc. が発行元のデジタル署名が付いていないはずなので、インストーラーのダイアログや UAC (ユーザーアカウント制御) ダイアログが表示されるはずだとのことです。
前回のブログの質問と回答集以外にも、お客様からは、さらに多くのご質問をいただいております。お客様にさらにご理解いただき、また他のウェブ サイト管理者の皆様のご参考になればと思い、ここに追加の情報を公開することに致しました。
1. マルウェアがインストールされたかどうかを調べる方法は、ウィルス検査以外にありますか?
更新をダウンロードすると、通常、C:\ProgramData\Emurasoft\EmEditor\updates\ に更新定義ファイルが保存され、その中にサブフォルダが作成されて、更新インストーラーも保存されます。このフォルダの実際のパスは、[ヘルプ] メニューの [更新チェッカーのカスタマイズ] を選択すると、[更新オプション] ダイアログが表示されます。この中の [ダウンロード フォルダ] で確認していただけます。万一、このフォルダ内のサブフォルダに保存されているインストーラーに、Emurasoft, Inc. が発行元のデジタル署名が付いていない場合には、マルウェアが保存された可能性があります。万一、このようなファイルを見つけた場合には、実行せずに、jp@emurasoft.com 宛てに速やかにご連絡ください。ただ、巧妙なマルウェアなら痕跡を残さずに実行された可能性もあることが考えられます。
2. 更新時に、何かダイアログや UAC (ユーザーアカウント制御) ダイアログが表示されるでしょうか?
EmEditor v14.5.0 以上が既にインストールされた状態で、Emurasoft, Inc. が発行元のデジタル署名が付いた更新インストーラーの場合は、新たなダイアログや UAC (ユーザーアカウント制御) ダイアログは表示されません。
EmEditor v14.5.0 以上が既にインストールされた状態で、Emurasoft, Inc. が発行元のデジタル署名が付いていない更新インストーラーの場合は、新たなダイアログが表示されるはずで、コンピューター本体に変更が加えられる場合には、通常は UAC (ユーザーアカウント制御) ダイアログが表示されます。
EmEditor v14.5.0 未満が既にインストールされた状態での更新では、どのような場合でも、新たなダイアログが表示されるはずで、コンピューター本体に変更を加えられる場合には、通常は UAC (ユーザーアカウント制御) ダイアログが表示されます。
3. ブログに掲載されていた IP アドレス一覧に、私の IP が含まれている場合、EmEditor サーバーにアクセスされたという意味でしょうか?
いいえ、ブログに掲載されていた IP アドレス一覧に、お客様の IP アドレスが含まれていたからといって、EmEditor サーバーにアクセスされたことを意味しているわけではありません。この IP アドレスの一覧は、ハッカーが置いた .htaccess ファイルから書き写したもので、アクセス ログとは全く別のものです。.htaccess ファイルは、簡単に書くと、通信をリダイレクトする IP アドレスを指定しているファイルです。つまり、ここに書かれている IP アドレスのみ、マルウェアの可能性のあるファイルのインストールを指示していたということになります。.htaccess は、ハッカーが記述したファイルで、弊社が書いたファイルではありません。
4. 私の IP が EmEditor サーバーにアクセスされたかを調べることはできますか?
はい。前回のご報告の後、サーバー管理会社の協力を得て、問題が発生した日時の前後のアクセス ログ、エラー ログ、FTP ログなどを取得することができました。アクセス ログを調べれば、お客様の IP アドレスでアクセスされたかどうかを調べることができます。ただ、巧妙なハッカーなら、アクセス ログを書き換えていたことも考えられるため、これで完全に調べられるとは言い切れないものがあります。もし弊社で調査を希望される場合は、お客様の IP アドレスを添えて、jp@emurasoft.com 宛てにお問い合わせください。
5. EmEditor Free として使用している場合でも問題の可能性がありますか?
EmEditor Free として使用されている場合は、更新チェックの機能が無効になっているため、問題の可能性はありません。
6. 更新チェックの機能を無効にするには、どうしたらいいでしょうか?
本日公開した v14.5.4 に更新していただければ、更新チェックの機能は完全に取り除かれます。EmEditor を使用されている皆様は、この最新版に更新されることを強くお勧めします。更新される場合、EmEditor の更新チェックの機能は既に使用できなくなっているため、ダウンロード ページより最新版をダウンロードして更新してください。なお、既存のバージョンで、更新チェックを無効にされたい場合は、[ヘルプ] メニューの [更新チェッカーのカスタマイズ] で、[更新を自動的にチェックしない] を選択していただくことでも可能です。また、EmEditor のインストールの段階で、カスタム インストールを選択して、更新チェックを無効にされた場合、および INI ファイルを使用するポータブル版の場合は、更新チェッカーは完全に無効になっています。
7. 更新チェッカーの今後について
更新チェッカーを作成するのに使用した Advanced Installer の開発元からは、更新チェッカーのセキュリティ改善に向けて前向きな回答をいただいています。改善の方法としては、デジタル署名で確認する方法、および設定定義ファイルをプライベートキーで署名する方法の 2 種類が考えられるとの回答を得ています。本サーバーの安全と更新チェッカーの改善が確認できれば、更新チェッカーの利用が再開できるようにしたいと考えています。
8. 今後の対策について
サーバー管理会社によるクリーンアップ作業は終了し、現在は正常だという回答を得ています。また、古い XOOPS を使用していた外国語サイト、および EmFTP のサイトはすべて削除いたしました。
現在、JPCERT/CC 様には、サーバーのアクセス ログなどをお渡しして、問題の解析をお願いしています。何かハッカーの手口や原因がもっと詳しくわかれば、対策は行いやすくなります。しかし、ハッカーがどのように悪意のあるファイルを置いたかを特定するのは、難しいのではないかと思います。
サーバー会社から取得した弊社が所有するドメインのすべての FTP ログによると、弊社の FTP サーバーは、一般には公開されていないにも関わらず、8月1日から19日までの間だけで、201個もの異なる IP アドレスから不正なログインが試みられています。中には数分毎にアクセスを試みている総当たり攻撃が確認されています。なお、ログによれば、不正なログインは 1 つも成功していません。しかし、総当たり攻撃から防ぐため、問題の IP アドレスからのアクセスを禁止する処理を行うことにしました。
さらに、サーバー上の不要なファイルを整理、削除して、必要なファイルだけを置くようにし、悪意のあるファイルが置かれた場合でもすぐに発見できるように監視を続けていく所存です。
以上です。
皆様には大変ご迷惑をお掛けして申し訳ありませんでした。
今後もよろしくお願い申し上げます。
参考:
オンライン販売パートナーが Avangate になりました
/カテゴリ: 一般/作成者: Yutaka Emura日頃より EmEditor をお使いいただき、誠にありがとうございます。
本日、オンライン販売のパートナーを Avangate に変更いたしました。購入時の電話サポート、サブスクリプションを自動更新するかどうかの選択、よりフレッシュなユーザー インターフェイスなどが提供され、お客様にとっては良い情報だと思います。バックアップ CD とダウンロード保証サービスは、従来は既定で選択されていましたが、今後は選択されなくなりました。
万一、購入時に問題が発生した場合には、ご遠慮なくお問い合わせください。私共は、お客様のフィードバックを重視しています。
今後もよろしくお願い申し上げます。
EmEditor v14.6.0 beta 17 を公開しました
/カテゴリ: EmEditor 本体/作成者: Yutaka Emura本日、EmEditor v14.6.0 beta 17 を公開いたしました。
v14.6.0 beta 16 からの主な変更点は、次の通りです。
正式版の公開前にできるだけ多くの不具合を発見したいため、このベータ版をお試しいただき、不具合が見つかりましたらご報告していただけますようお願い申し上げます。
ダウンロードや変更点は、ベータ版フォーラムの「EmEditor v14.6.0 beta 17 を公開しました」をご覧ください。
今後も EmEditor を引き続きご愛顧くださいますよう、どうぞよろしくお願い申し上げます。
今回のハッキングの事件についての調査結果のご報告
/カテゴリ: 一般/作成者: Yutaka Emura今回のハッキングの事件に関して、お客様には大変ご迷惑をお掛けして申し訳ありませんでした。
昨日、JPCERT/CC (コーディネーションセンター) 様より、調査の最終的なご報告をいただきました。
(以下の文章で、IPアドレスの一部は、個人情報の保護の観点から # で隠しています。)
不正侵入の原因
残っていた各種ログからは、不正侵入の原因について特定できませんでした。ただ、攻撃の痕跡とて、203.194.144.# からの不審なアクセス (Webアクセス、FTPのログイン試行) を確認しており、8月上旬から攻撃の試行が行われていた痕跡を確認しました。しかし、これだけで、不正侵入の原因までは特定できませんでした。なお、FTPのログイン試行はいずれも成功していません。
不正誘導について
残っていたログから、以下の 2回のアクセスはハッカーにより不正に置かれた .htaccess ファイルによってリダイレクトされた、不正なファイルへのアクセスだと考えられます。
これらのアクセスは、.htaccess に記述されていた IP アドレスの一覧の範囲と一致し、問題のあった時間帯とも一致していて、しかもアクセス ログに記録されているバイト数 (884) が、同ファイルへの他の時間帯、他のIPアドレスからのアクセスに記録されているバイト数と異なっていました。
つまり、通常は、
のように、855 バイトと表示されるはずですが、上記 2 回のアクセスだけ、ファイルのバイト数が 884 バイトとなっていました。
上記 2件 の IP アドレスの発信元のお客様には、JPCERT/CC 様より連絡を行っていただきましたが、マルウェアに感染といった事件は発生していませんでした。アクセスログには、実際のインストールが行われなくても、更新のチェックを行うだけでも、上のようにアクセス ログに記録が残ります。
今後の対策について
弊社では、使用している WordPress のプラグインとテーマの更新を毎日行うといった基本的な対応に加えて、定期的に、マルウェア スキャンの実施、サーバー上のファイルの変更の監視、アクセスログの監視を行い、不審な挙動に伴う IP アドレスについてはアクセスをブロックするといった処置をより積極的に行うことにしました。また、8月29日より、emeditor.com のサイト全体を SSL 暗号化通信に移行し、ハッカーによる個人情報の盗聴を防止しています。さらに、本サイト内のフォーラムを、他のサイトへ移動、またはメーリング リストへの移行を検討しております。
更新チェッカーを作成するのに使用した Advanced Installer の次期バージョンでは、更新インストーラーに弊社のデジタル署名が無ければインストールがブロックされ、より安全になります。弊社でも Advanced Installer の RC 版のテストを行いましたが、確かに異なるデジタル署名の更新インストーラーは、インストールがブロックされることを確認しました。そこで、将来の EmEditor のバージョンでは、Advanced Installer の次期バージョンのより安全な更新チェッカーを使用して更新チェッカーの機能を復活する予定です。
皆様には大変ご迷惑をお掛けして申し訳ありませんでした。
今後もよろしくお願い申し上げます。
参考:
新機能:フィルター バーを追加しました (EmEditor v14.6.0 beta 11)
/カテゴリ: EmEditor 本体/作成者: Yutaka Emura本日、EmEditor v14.6.0 beta 11 を公開いたしました。
v14.6.0 beta 8 からの主な変更点は、次の通りです。
正式版の公開前にできるだけ多くの不具合を発見したいため、このベータ版をお試しいただき、不具合が見つかりましたらご報告していただけますようお願い申し上げます。
ダウンロードや変更点は、ベータ版フォーラムの「EmEditor v14.6.0 beta 11 を公開しました (新機能: フィルター バー)」をご覧ください。
今後も EmEditor を引き続きご愛顧くださいますよう、どうぞよろしくお願い申し上げます。
EmEditor v14.6.0 beta 8 を公開しました
/カテゴリ: EmEditor 本体/作成者: Yutaka Emura本日、EmEditor v14.6.0 beta 8 を公開いたしました。
v14.6.0 beta 4 からの主な変更点は、次の通りです。
正式版の公開前にできるだけ多くの不具合を発見したいため、このベータ版をお試しいただき、不具合が見つかりましたらご報告していただけますようお願い申し上げます。
ダウンロードや変更点は、ベータ版フォーラムの「EmEditor v14.6.0 beta 8 を公開しました」をご覧ください。
今後も EmEditor を引き続きご愛顧くださいますよう、どうぞよろしくお願い申し上げます。
EmEditor v14.6.0 beta 4 を公開しました
/カテゴリ: EmEditor 本体/作成者: Yutaka Emura本日、EmEditor v14.6.0 beta 4 を公開いたしました。
v14.6.0 beta 1 からの主な変更点は、次の通りです。
正式版の公開前にできるだけ多くの不具合を発見したいため、このベータ版をお試しいただき、不具合が見つかりましたらご報告していただけますようお願い申し上げます。
ダウンロードや変更点は、ベータ版フォーラムの「EmEditor v14.6.0 beta 4 を公開しました」をご覧ください。
今後も EmEditor を引き続きご愛顧くださいますよう、どうぞよろしくお願い申し上げます。
窓の杜で EmEditor が紹介されました
/カテゴリ: メディア紹介記事/作成者: Yutaka EmuraEmEditor v14.6.0 ベータ版が窓の杜で紹介されました。
「EmEditor Professional」v14.6.0のベータ版が公開、CSV編集関連の機能を大幅に強化
検索キーワードを含む行を抽出して新規ドキュメントを作成する[抽出]コマンドも
EmEditor v14.6.0 beta 1 を公開しました
/カテゴリ: EmEditor 本体/作成者: Yutaka Emura本日、EmEditor v14.6.0 beta 1 を公開いたしました。
従来、「区切り値」または「CSV/TSV/DSV」という用語を使用していましたが、今後は、カンマ、タブなどの区切り文字の種類に関わらず、複数のフィールドが特定の文字列で区切られたファイル (または文書) を、総称して「CSV」と呼ぶことにします。
v14.5.4 からの主な変更点は、次の通りです。
正式版の公開前にできるだけ多くの不具合を発見したいため、このベータ版をお試しいただき、不具合が見つかりましたらご報告していただけますようお願い申し上げます。
ダウンロードや変更点は、ベータ版フォーラムの「EmEditor v14.6.0 beta 1 を公開しました」をご覧ください。
今後も EmEditor を引き続きご愛顧くださいますよう、どうぞよろしくお願い申し上げます。
EmEditor ホームページ全体が SSL 暗号化通信に移行しました
/カテゴリ: 一般/作成者: Yutaka Emura日頃より、EmEditor をご利用いただき、誠にありがとうございます。
8月29日に、すべての外国語ページを含む EmEditor ホーム ページ全体が SSL 暗号化通信で保護されました。これにより、ホーム ページ上の通信が暗号化され、ハッカーによる個人情報の盗聴から保護されるようになりました。日本語の EmEditor ホーム ページの URL は、/ に変更になりました (先頭の http が https に変更されました)。従来の URL にアクセスしても、新しい URL に自動的に変更されます。
これに伴い、EmEditor ホーム ページの IP アドレスは変更になっています。これらの移行のため、一部の時間帯においては、EmEditor ホーム ページへの接続ができなかったり、正しく表示されなかったことがありました。事後報告になったことをお詫びいたします。
SSL 暗号化通信に移行後、ライブラリのファイル ページが正しく表示されないという不具合が発生しました。そのため、現在のところ、ファイル一覧をクリックすると、ファイルの詳細ページをスキップして、すぐにダウンロードが開始するように動作を変更しています。しばらくの間、調整のために、ライブラリに関しては不具合が発生する可能性がありますがご了承ください。
皆様には大変ご迷惑をお掛けして申し訳ありません。
なお、エムソフト カスタマー センター (https://support.emeditor.com/?lid=2) は、従来から SSL により保護されています。
今後もよろしくお願い申し上げます。
今回のハッカーによる攻撃の詳細の続報
/カテゴリ: 一般/作成者: Yutaka Emura今回のハッキングの事件に関して、お客様には大変ご迷惑をお掛けして申し訳ありませんでした。
この度、JPCERT/CC (コーディネーションセンター) 様、IPA情報処理推進機構様、その他多くのセキュリティ関連会社様より、電話会議やメールを通して、ご協力やご助言を得ることができ、大変感謝しております。サーバー管理会社の協力により、多くの関連ログが取得できたため、問題の解析が進む見込みです。
更新チェッカーを作成している Advanced Installer の作成元の会社から、マルウェアのインストールの可能性について回答がありました。マルウェアがインストールされる可能性はあるが、マルウェアならば、Emurasoft, Inc. が発行元のデジタル署名が付いていないはずなので、インストーラーのダイアログや UAC (ユーザーアカウント制御) ダイアログが表示されるはずだとのことです。
前回のブログの質問と回答集以外にも、お客様からは、さらに多くのご質問をいただいております。お客様にさらにご理解いただき、また他のウェブ サイト管理者の皆様のご参考になればと思い、ここに追加の情報を公開することに致しました。
1. マルウェアがインストールされたかどうかを調べる方法は、ウィルス検査以外にありますか?
更新をダウンロードすると、通常、C:\ProgramData\Emurasoft\EmEditor\updates\ に更新定義ファイルが保存され、その中にサブフォルダが作成されて、更新インストーラーも保存されます。このフォルダの実際のパスは、[ヘルプ] メニューの [更新チェッカーのカスタマイズ] を選択すると、[更新オプション] ダイアログが表示されます。この中の [ダウンロード フォルダ] で確認していただけます。万一、このフォルダ内のサブフォルダに保存されているインストーラーに、Emurasoft, Inc. が発行元のデジタル署名が付いていない場合には、マルウェアが保存された可能性があります。万一、このようなファイルを見つけた場合には、実行せずに、jp@emurasoft.com 宛てに速やかにご連絡ください。ただ、巧妙なマルウェアなら痕跡を残さずに実行された可能性もあることが考えられます。
2. 更新時に、何かダイアログや UAC (ユーザーアカウント制御) ダイアログが表示されるでしょうか?
EmEditor v14.5.0 以上が既にインストールされた状態で、Emurasoft, Inc. が発行元のデジタル署名が付いた更新インストーラーの場合は、新たなダイアログや UAC (ユーザーアカウント制御) ダイアログは表示されません。
EmEditor v14.5.0 以上が既にインストールされた状態で、Emurasoft, Inc. が発行元のデジタル署名が付いていない更新インストーラーの場合は、新たなダイアログが表示されるはずで、コンピューター本体に変更が加えられる場合には、通常は UAC (ユーザーアカウント制御) ダイアログが表示されます。
EmEditor v14.5.0 未満が既にインストールされた状態での更新では、どのような場合でも、新たなダイアログが表示されるはずで、コンピューター本体に変更を加えられる場合には、通常は UAC (ユーザーアカウント制御) ダイアログが表示されます。
3. ブログに掲載されていた IP アドレス一覧に、私の IP が含まれている場合、EmEditor サーバーにアクセスされたという意味でしょうか?
いいえ、ブログに掲載されていた IP アドレス一覧に、お客様の IP アドレスが含まれていたからといって、EmEditor サーバーにアクセスされたことを意味しているわけではありません。この IP アドレスの一覧は、ハッカーが置いた .htaccess ファイルから書き写したもので、アクセス ログとは全く別のものです。.htaccess ファイルは、簡単に書くと、通信をリダイレクトする IP アドレスを指定しているファイルです。つまり、ここに書かれている IP アドレスのみ、マルウェアの可能性のあるファイルのインストールを指示していたということになります。.htaccess は、ハッカーが記述したファイルで、弊社が書いたファイルではありません。
4. 私の IP が EmEditor サーバーにアクセスされたかを調べることはできますか?
はい。前回のご報告の後、サーバー管理会社の協力を得て、問題が発生した日時の前後のアクセス ログ、エラー ログ、FTP ログなどを取得することができました。アクセス ログを調べれば、お客様の IP アドレスでアクセスされたかどうかを調べることができます。ただ、巧妙なハッカーなら、アクセス ログを書き換えていたことも考えられるため、これで完全に調べられるとは言い切れないものがあります。もし弊社で調査を希望される場合は、お客様の IP アドレスを添えて、jp@emurasoft.com 宛てにお問い合わせください。
5. EmEditor Free として使用している場合でも問題の可能性がありますか?
EmEditor Free として使用されている場合は、更新チェックの機能が無効になっているため、問題の可能性はありません。
6. 更新チェックの機能を無効にするには、どうしたらいいでしょうか?
本日公開した v14.5.4 に更新していただければ、更新チェックの機能は完全に取り除かれます。EmEditor を使用されている皆様は、この最新版に更新されることを強くお勧めします。更新される場合、EmEditor の更新チェックの機能は既に使用できなくなっているため、ダウンロード ページより最新版をダウンロードして更新してください。なお、既存のバージョンで、更新チェックを無効にされたい場合は、[ヘルプ] メニューの [更新チェッカーのカスタマイズ] で、[更新を自動的にチェックしない] を選択していただくことでも可能です。また、EmEditor のインストールの段階で、カスタム インストールを選択して、更新チェックを無効にされた場合、および INI ファイルを使用するポータブル版の場合は、更新チェッカーは完全に無効になっています。
7. 更新チェッカーの今後について
更新チェッカーを作成するのに使用した Advanced Installer の開発元からは、更新チェッカーのセキュリティ改善に向けて前向きな回答をいただいています。改善の方法としては、デジタル署名で確認する方法、および設定定義ファイルをプライベートキーで署名する方法の 2 種類が考えられるとの回答を得ています。本サーバーの安全と更新チェッカーの改善が確認できれば、更新チェッカーの利用が再開できるようにしたいと考えています。
8. 今後の対策について
サーバー管理会社によるクリーンアップ作業は終了し、現在は正常だという回答を得ています。また、古い XOOPS を使用していた外国語サイト、および EmFTP のサイトはすべて削除いたしました。
現在、JPCERT/CC 様には、サーバーのアクセス ログなどをお渡しして、問題の解析をお願いしています。何かハッカーの手口や原因がもっと詳しくわかれば、対策は行いやすくなります。しかし、ハッカーがどのように悪意のあるファイルを置いたかを特定するのは、難しいのではないかと思います。
サーバー会社から取得した弊社が所有するドメインのすべての FTP ログによると、弊社の FTP サーバーは、一般には公開されていないにも関わらず、8月1日から19日までの間だけで、201個もの異なる IP アドレスから不正なログインが試みられています。中には数分毎にアクセスを試みている総当たり攻撃が確認されています。なお、ログによれば、不正なログインは 1 つも成功していません。しかし、総当たり攻撃から防ぐため、問題の IP アドレスからのアクセスを禁止する処理を行うことにしました。
さらに、サーバー上の不要なファイルを整理、削除して、必要なファイルだけを置くようにし、悪意のあるファイルが置かれた場合でもすぐに発見できるように監視を続けていく所存です。
以上です。
皆様には大変ご迷惑をお掛けして申し訳ありませんでした。
今後もよろしくお願い申し上げます。
参考: