【重要】EmEditor ホームページに関する不正リンク(マルウェア)について(続報)
平素より EmEditor をご利用いただき、誠にありがとうございます。
既に X にてお知らせしております「【重要】EmEditor ホームページに関する不正リンク(マルウェア)について」 につきまして、その後の調査で判明した事項、および前回告知の補足を以下にご報告いたします。
注意点として、本件は、日本時間の2025年12月23日付で告知いたしました、前回のインシデント とは別件のインシデントであり、日本語版 EmEditor Web サイト(https://jp.emeditor.com/)のみが影響を受けています。他言語のサイトには影響はありません。
本件により、お客様には多大なるご心配とご迷惑をお掛けしておりますことを、重ねて深くお詫び申し上げます。
1. 影響が発生した可能性のある期間(日本時間/UTC)
- 2025年12月31日 18:26 ~ 2026年1月2日 01:51(日本時間)
- 2025-12-31 09:26 UTC ~ 2026-01-01 16:51(UTC)
※終了時刻は正確ですが、開始時刻はこれより遅い可能性があります。
上記期間中に、EmEditor ホームページ上の emed64_25.4.4.msi へのリンク(ダウンロード ページやブログ ページ)からインストーラーをダウンロードされた場合、弊社(Emurasoft, Inc.)が提供する正規ファイルではない別ファイルがダウンロードされた可能性があります。
なお、この期間は安全側に見積もって広めに設定しており、実際にはこれより短い、特定の時間帯のみであった可能性もあります。
2. 事象の概要
日本語版 EmEditor Web サイトでは、EmEditor デスクトップ インストーラー最新版のダウンロード先として、次の URL がリンクになっていました。
- https://download.emeditor.info/emed64_25.4.4.msi
当該期間中、リンクをクリックすると以下のリンクに遷移するよう、第三者により改変されていました。
- https://jp.emeditor.com/wp-content/uploads/2025/10/emed64_25.4.4.msi
その結果、マルウェアを含む問題のファイル emed64_25.4.4.msi がダウンロードされてしまう現象が発生しました。
当該ファイルは弊社が作成したものではなく、現在は削除済みです。
また、当該ファイルには弊社の署名ではなく、GRH PSYCHIC SERVICES LTD という別組織のデジタル署名が付与されていることを確認しています。
3. 影響が確認されているファイル
本件で問題となっているファイル emed64_25.4.4.msi について、付与されていた電子署名(デジタル署名)は、いずれも Microsoft から発行された署名でした。署名の有効期間が数日間と非常に短いことから、いわゆる開発者向けに近い形で発行された署名である可能性が高いと考えています。
弊社では Microsoft に対して問題のファイルを添付して本インシデントを報告し、当該デジタル署名の無効化を要求いたしました。
正しいファイル(弊社正規 EmEditor インストーラー)
- ファイル名:
emed64_25.4.4.msi - サイズ: 81,469,440 bytes
- 電子署名(発行先): Emurasoft, Inc.
- 電子署名(発行者): Sectigo Public Code Signing CA R36
- 電子署名(有効期間): 2023/4/9 から 2026/4/9
- SHA-256:
09e884896467b8fa574b2adf22d792e039774b8fb1300ec26a59c951937eaa3c - VirusTotal の検出結果:
https://www.virustotal.com/gui/file/09e884896467b8fa574b2adf22d792e039774b8fb1300ec26a59c951937eaa3c - 配布元(正規): https://download.emeditor.info/emed64_25.4.4.msi
問題のあるファイル
- ファイル名:
emed64_25.4.4.msi - サイズ: 81,473,024 bytes
- 電子署名(発行先): GRH PSYCHIC SERVICES LTD
- 電子署名(発行者): Microsoft ID Verified CS EOC CA 02
- 電子署名(有効期間): 2025/12/31 から 2026/1/3
- SHA-256:
da59acc764bbd6b576bef6b1b9038f592ad4df0eed894b0fbd3931f733622a1a - VirusTotal の検出結果:
https://www.virustotal.com/gui/file/da59acc764bbd6b576bef6b1b9038f592ad4df0eed894b0fbd3931f733622a1a - 置かれていた場所: https://jp.emeditor.com/wp-content/uploads/2025/10/emed64_25.4.4.msi(削除済み)
4. 影響を受けないケース
以下の場合は 本件の影響を受けません。
- EmEditor の 更新チェッカー(Update Checker) から更新した場合、または EmEditor により自動更新が行われた場合(更新チェッカーは自動的に、デジタル署名の署名者が Emurasoft, Inc. と一致することを確認するため、問題は発生しません)
emed64_25.4.4.msi以外のファイル (emed64_25.4.3.msiについては前回のインシデントをご確認ください)- ポータブル版
- ストア アプリ版
- winget を利用してインストール/更新した場合
- 問題のファイルをダウンロードしていたとしても、当該ファイルを実行していない場合
- 日本語版 EmEditor Web サイト(https://jp.emeditor.com/)以外からダウンロードした場合
5. 該当する可能性がある場合の確認方法とお願い
上記期間中に日本語版 EmEditor Web サイト(https://jp.emeditor.com/)からインストーラーを入手された可能性がある場合は、ダウンロードした emed64_25.4.4.msi の デジタル署名 および SHA-256 をご確認ください。
(可能であれば、インストール/実行の有無もあわせてご確認ください。)
5-1. デジタル署名の確認手順(Windows)
- 対象ファイル(
emed64_25.4.4.msi)を右クリックし、[プロパティ] を開きます。 - [デジタル署名] タブを開きます。
- 署名者名(Signer/署名者)が Emurasoft, Inc. であることを確認してください。
- GRH PSYCHIC SERVICES LTD となっている場合、問題のあるファイルの可能性があります。
※「デジタル署名」タブが表示されない場合、署名が付与されていない、または正しく認識できない可能性があります。その場合も当該ファイルは実行せず削除し、後述の対応をご検討ください。
5-2. SHA-256 の確認手順(Windows/PowerShell)
PowerShell を開き、次を実行してください。
Get-FileHash .\emed64_25.4.4.msi -Algorithm SHA256出力された SHA-256 が次と一致することをご確認ください。
- 正規ファイルの SHA-256:
09e884896467b8fa574b2adf22d792e039774b8fb1300ec26a59c951937eaa3c
署名または SHA-256 が一致しない場合(推奨対応)
デジタル署名が Emurasoft, Inc. ではなく GRH PSYCHIC SERVICES LTD となっている場合、または SHA-256 が一致しない場合、改ざんされたファイル(マルウェアを含む可能性のあるファイル)を入手された恐れがあります。
- 直ちに当該コンピューターを ネットワークから切り離す(有線/無線の遮断)
- コンピューター全体の マルウェア スキャン を実施する
- 状況により、可能であれば OS を含む環境のリフレッシュ/再構築 をご検討ください
- 当該端末で利用・保存していた情報が漏えいしている可能性も考慮し、各種サービスの パスワード変更(必要に応じて多要素認証の有効化)をご検討ください
※企業・組織でご利用の場合は、可能な範囲で 社内のセキュリティ担当部門(CSIRT 等) への連絡も推奨いたします。
5-3. ダウンロードしたファイルを既に削除してしまった場合の対処方法
すでにダウンロードしたファイルを削除してしまっている場合でも、Windows の仕様により、インストール時に参照された MSI が C:\Windows\Installer 配下に別名で残っていることがあります。
このフォルダは「隠しフォルダ」であると同時に、OS により保護されたフォルダでもあるため、ファイル エクスプローラー上で通常の操作だけでは見つけにくく、C:\Windows\Installer をパス指定して直接開く必要があります。
フォルダを開いた後は、以下の流れを推奨いたします。なお、この際、MSI ファイルをダブルクリックしたり実行したりしないよう、細心の注意を払ってください。
- 日付順(更新日時など)で並べ替え を行う
- 比較的新しいファイル を中心に確認する
- 対象ファイルの 電子署名(デジタル署名) を確認する(右クリック → プロパティ → デジタル署名)
5-4. コンピューターがマルウェアに感染したかどうかを判別する方法
問題のファイルを実行したとしても、次のような環境では必ずしも感染するとは限りません。
- 端末がオフラインであった場合
- VPN/プロキシ必須環境であった場合
- Windows の機能/ポリシーにより PowerShell の不審な挙動がブロックされた場合
- PowerShell の起動自体が制限されていた場合
- アンチウイルス/セキュリティ ソフトウェアによりブロックされた場合
次のような条件が 1 つでも当てはまる場合、感染している可能性が非常に高くなります。
C:\ProgramData\tmp_mojo.logというファイルが存在するGoogle Drive Cachingという名前のタスクがスケジュールされている%LOCALAPPDATA%\Google Drive Caching\フォルダ内にbackground.vbsが存在する- Chrome、Microsoft Edge など Chromium ベースのブラウザに、
Google Drive Cachingという名前のブラウザ拡張機能が存在する(たとえ Google 製を名乗っていても)。特に、「すべてのウェブサイト上のデータの読み取りと変更」が可能で、さらにクリップボードにアクセスできる権限を持つ場合 - ネットワーク ログを調べて、次のいずれかに接続された形跡がある:
cachingdrive.com、emeditorde.com、emeditorgb.com、emeditorjp.com、emeditorsb.com、emeditorltd.com
以上のすべての項目に当てはまらない場合、リスクは低くなりますが、ゼロではありません。攻撃の一部はファイルに痕跡を残さず、メモリ内で行われるためです。
6. 確認されている挙動
VirusTotal の検出結果により、emeditorltd.com へのアクセスが確認されています。
このドメイン(emeditorltd.com)は、弊社(Emurasoft, Inc.)が管理しているドメインではありません。インストーラーを実行したコンピューターがマルウェアに感染し、パスワード等の個人情報が窃取される可能性があります。発生の時期および手口から、前回のインシデントと同様のマルウェアである可能性が高いと考えられます。詳しくは、前回の続報 をご参照ください。
7. 問題の本質
前回の続報(同上)にて記載したとおり、残念ながら、私どもソフトウェア会社にとって 「正規インストーラーに酷似した悪意のあるインストーラーの作成・流通そのもの」を完全に防ぐことは困難です。しかしながら、前回と同様、今回の「本質的な問題」は大きく 2 点です。
- 私どもの Web サイトで利用されていたダウンロード用リンクが、気付かないうちに改変されてしまったこと
- 私どもの Web サイトに外部からアクセスされ、マルウェアを含む 問題のファイルが設置されてしまったこと
これらが重なったことで、「公式サイトからダウンロードしたお客様が被害に遭われた」という点に、私どもとして重い責任を感じております。防げなかったのか、という反省も含め、以後の対策につなげてまいります。
7-1. 詳細な事象(EmEditor ホームページにマルウェアを含む問題のファイルが置かれていた件)
マルウェアを含む問題のファイル emed64_25.4.4.msi が無断で設置されていました。また、テーマ用ファイルである functions.php が無断で改変されていたことが分かっています。
この functions.php にスクリプトが追加されており、EmEditor ホームページ(日本語)内の下記ファイルへのリンク(https://download.emeditor.info/emed64_25.4.4.msi)をユーザーがクリックした際に「横取り」し、当時、問題のあるインストーラーが置かれていた https://jp.emeditor.com/wp-content/uploads/2025/10/emed64_25.4.4.msi に遷移させるものでした。
結果として、ホームページ上のデスクトップ インストーラー emed64_25.4.4.msi へのリンクをクリックすると、問題のファイルがダウンロードされる状態になっていたことが分かりました。
さらに悪質な点として、このスクリプトは 未ログインの一般訪問者にのみ動作 するようになっており、管理者側で確認しても気付きにくい(再現しにくい)状態になっていました。
8. 問題の原因
前回の続報(同上)で書いたのと同様、WordPress の脆弱性が狙われた可能性、または SFTP アカウントが攻撃対象になった可能性が考えられます。
9. 弊社の対応(実施済み/今後)
弊社ではまず、問題のファイル emed64_25.4.4.msi を削除し、直ちに一時的にすべてのサイトを閉鎖しました。
そして、公式サイトを閉鎖したため、X および Facebook を利用して本インシデントの第一報を告知いたしました。
以前の定期バックアップからファイルの変更を調査し、functions.php の改変を確認しました。
しかしながら、X や Facebook のサイトをご存じないお客様のため、サイトを再構築し、すべてのプラグインを再インストールして問題がないことを確認したうえで、サイトを一時的に再公開し、ホームページ最上部に本インシデントについての X での告知へのリンクを掲載しました。
それでも攻撃者により Web ページを書き換えられる危険性が残るため、WordPress の使用を中止し、従来の内容をすべて HTML にエクスポートして、Web サイトを静的サイトに変更しました。現在表示されている英語版と日本語版の EmEditor サイトは、すべて WordPress を使用しない静的サイトとなっているため、安全と言えます。英語および日本語のサイトについては、マルウェアの発見から 2 日以内に静的サイトへ移行することができました。他の言語のサイトも近日中に移行する予定です。
10. 最後に
前回(同上)にも書いたように、マルウェアにより改変されたインストーラーは、実行されると非常に危険な挙動を取り得ます。しかしながら、私どもには「悪意あるインストーラーの作成・配布」そのものを根本的に阻止する手段がないのが実情です。
そのため、私どもができる最大のことは、第1配布元として、弊社 Web サイトからマルウェアが入手されないよう防御し続けることであると考えています。
今回使用されたドメイン(emeditorltd.com)は、前回のインシデントで用いられた emeditorde.com、emeditorgb.com、emeditorjp.com、emeditorsb.com とは異なるドメインでした。公式サイトである emeditor.com に似た名前のドメインが攻撃者により多数所有されていたこと、マルウェアが非常に精巧に作られている点、そして繰り返し攻撃を加えている事実に加え、クリスマス前の週末や正月に攻撃されたことから、攻撃者の高い執念が感じられます。
このままでは再び同様の攻撃が行われても不思議ではないため、WordPress という動的サイトから、HTML/CSS/JS ベースの静的サイトへ移行することを決定し、実行しました。
幸いなことに、エムソフト カスタマー センター は攻撃を受けておらず、当社のデータベースも安全でした。お客様データベースがアクセスされた証拠は確認されていません。
前述のとおり、WordPress による動的サイトから、HTML/CSS/JS ベースの静的サイトに移行できたことで、今後、 同様のインシデントが発生する可能性は極めて低くなる見込みです。 これに伴い、フォーラムは、閲覧専用(読み取り専用)になり、新規メンバーの登録は終了しました。何卒、ご了承ください。
本インシデントによる経験が、少しでも他のソフトウェア会社の皆様のお役に立てばという思いから、単なるご報告に留まらず、可能な限りの詳細と考察を記載いたしました。
このたびは、皆様に多大なるご迷惑とご心配をお掛けしましたことを、重ねてお詫び申し上げます。特に、感染の被害に遭われた方々にはご迷惑をお掛けしましたことを深くお詫び申し上げます。
今後とも EmEditor をよろしくお願い申し上げます。