【重要】EmEditor インストーラーのダウンロード導線に関するセキュリティ インシデントのお知らせ(続報)
平素より EmEditor をご利用いただき、誠にありがとうございます。
すでにお知らせしております「【重要】EmEditor インストーラーのダウンロード導線に関するセキュリティ インシデントのお知らせ」 につきまして、その後の調査で判明した事項、および前回告知の補足を以下にご報告いたします。
本件により、お客様には多大なるご心配とご迷惑をお掛けしておりますことを、重ねて深くお詫び申し上げます。
1. 影響が発生した可能性のある期間(日本時間/UTC)
前回のお知らせでは日本時間(JST)でご案内いたしましたが、補足として世界標準時(UTC)も併記いたします。
- 2025年12月20日 11:39 〜 2025年12月23日 05:50(日本時間)
- 2025-12-20 02:39 – 2025-12-22 20:50(UTC)
上記期間中に、EmEditor ホームページ上のダウンロード導線(例:「今すぐダウンロード」ボタン等)からインストーラーを入手された場合、弊社(Emurasoft, Inc.)が提供する正規ファイルではない別ファイルがダウンロードされた可能性があります。
なお、この期間は安全側に見積もって広めに設定しており、実際にはこれよりも短い、特定の時間帯のみであった可能性もあります。
2. 問題のファイルについて(確認できている差分)
本件で問題となっているファイル emed64_25.4.3.msi について、少なくとも 2つの「問題のあるファイル」 が存在することを確認しています。
また、問題のあるファイルに付与されていた電子署名(デジタル署名)は、いずれも Microsoft から発行された署名でした。署名の有効期間が数日間と非常に短いことから、いわゆる開発者向けに近い形で発行された署名である可能性が高いと考えています。
弊社では、Microsoft に対して問題のファイルを添付して本インシデントを報告し、当該デジタル署名の無効化を要求いたしました。現在では、これら両方のデジタル署名がすでに無効化されていることを確認しており、当該 MSI を実行しようとすると、デジタル署名が無効である旨の警告メッセージが表示され、容易にはインストールできない状態になっています。
正しいファイル(弊社正規 EmEditor インストーラー)
- ファイル名:
emed64_25.4.3.msi - サイズ: 80,376,832 bytes
- 電子署名 発行先: Emurasoft, Inc.
- 電子署名 発行者: Sectigo Public Code Signing CA R36
- 電子署名 有効期間: 2023/4/9 から 2026/4/9
- SHA-256:
e5f9c1e9b586b59712cefa834b67f829ccbed183c6855040e6d42f0c0c3fcb3e - VirusTotal の検出結果:
https://www.virustotal.com/gui/file/e5f9c1e9b586b59712cefa834b67f829ccbed183c6855040e6d42f0c0c3fcb3e - 配布元(正規): https://download.emeditor.info/emed64_25.4.3.msi
問題のあるファイル その1
- ファイル名:
emed64_25.4.3.msi - サイズ: 80,380,416 bytes
- 電子署名 発行先: WALSHAM INVESTMENTS LIMITED
- 電子署名 発行者: Microsoft ID Verified CS EOC CA 02
- 電子署名 有効期間: 2025/12/21 から 2025/12/24
- SHA-256:
4bea333d3d2f2a32018cd6afe742c3b25bfcc6bfe8963179dad3940305b13c98 - VirusTotal の検出結果:
https://www.virustotal.com/gui/file/4bea333d3d2f2a32018cd6afe742c3b25bfcc6bfe8963179dad3940305b13c98
問題のあるファイル その2
- ファイル名:
emed64_25.4.3.msi - サイズ: 80,380,416 bytes
- 電子署名 発行先: WALSHAM INVESTMENTS LIMITED
- 電子署名 発行者: Microsoft ID Verified CS EOC CA 01
- 電子署名 有効期間: 2025/12/20 から 2025/12/23
- SHA-256:
3d1763b037e66bbde222125a21b23fc24abd76ebab40589748ac69e2f37c27fc - VirusTotal の検出結果:
https://www.virustotal.com/gui/file/3d1763b037e66bbde222125a21b23fc24abd76ebab40589748ac69e2f37c27fc
3. ダウンロードしたファイルを既に削除してしまった場合の対処方法
ダウンロードしたファイル(emed64_25.4.3.msi)が手元に残っている場合は、前回もお知らせしましたとおり、デジタル署名または SHA-256 により確認できます。
一方で、すでにダウンロードしたファイルを削除してしまっている場合でも、Windows の仕様により、インストール時に参照された MSI が C:\Windows\Installer 配下に別名で残っていることがあります。
このフォルダは「隠しフォルダ」であると同時に、OS により保護されたフォルダでもあるため、ファイル エクスプローラー上で通常の操作だけでは見つけにくく、C:\Windows\Installer をパス指定して直接開く必要があります。
フォルダを開いた後は、以下の流れを推奨いたします。なお、この際、MSI ファイルをダブルクリックしたり実行したりしないよう、細心の注意を払ってください。
- 日付順(更新日時など)で並べ替えを行う
- 比較的新しいファイルを中心に確認する
- 対象ファイルの 電子署名(デジタル署名) を確認する(右クリック → プロパティ → デジタル署名)
4. コンピューターがマルウェアに感染したかどうかを判別する方法
問題のファイルを実行したとしても、次のような環境では必ずしも感染するとは限りません。
- 端末がオフラインであった場合
- VPN/プロキシ必須環境であった場合
- Windows の機能/ポリシーにより PowerShell の不審な挙動がブロックされた場合
- PowerShell の起動自体が制限されていた場合
- アンチウイルス/セキュリティ ソフトウェアによりブロックされた場合
次のような条件が 1 つでも当てはまる場合、感染している可能性が非常に高くなります。
C:\ProgramData\tmp_mojo.logというファイルが存在するGoogle Drive Cachingという名前のタスクがスケジュールされている%LOCALAPPDATA%\Google Drive Caching\フォルダ内にbackground.vbsが存在する- Chrome、Microsoft Edge など Chromium ベースのブラウザに、
Google Drive Cachingという名前のブラウザ拡張機能が存在する(たとえ Google 製を名乗っていても)。特に、「すべてのウェブサイト上のデータの読み取りと変更」が可能で、さらにクリップボードにアクセスできる権限を持つ場合 - ネットワーク ログを調べて、次のいずれかに接続された形跡がある:
cachingdrive.com、emeditorde.com、emeditorgb.com、emeditorjp.com、emeditorsb.com
以上のすべての項目に当てはまらない場合、リスクは低くなりますが、ゼロではありません。攻撃の一部はファイルに痕跡を残さず、メモリ内で行われるためです。
5. 確認されている挙動(アクセス先ドメイン等)
前回お知らせしたとおり、問題のインストーラーは、実行時に 外部ドメインからファイルを取得して実行する挙動を示すことが分かっています。前回の告知では emeditorjp.com へのアクセスを確認していましたが、その後の調査により、emeditorjp.com だけでなく emeditorde.com、emeditorgb.com、emeditorsb.com にもアクセスしていることが分かりました。
これら 4 つのドメイン(emeditorjp.com、emeditorde.com、emeditorgb.com、emeditorsb.com)は、いずれも弊社(Emurasoft, Inc.)が管理しているドメインではありません。
また、前回お知らせした PowerShell コマンドは外部ドメインからファイルを取得して実行するものであり、これにより、インストーラーを実行したコンピューターがマルウェアに感染し、パスワード等の個人情報が窃取される可能性があることを確認しています。
詳細については、Luca Palermo 氏および Mario Ciccarelli 氏によりまとめられた研究レポートをご参照ください。本レポートは Luca Palermo 氏からご提供いただいたものであり、掲載の許可もいただいております。この場を借りて、ご厚意に感謝申し上げます。
6. 問題の本質(なぜ「見分けにくい」のか)
まず前提として、ドメインや デジタル署名は、一定の条件を満たせば第三者でも取得できてしまう、という現実があります。
- ドメインは、未使用・未更新等で残っていれば、誰でも比較的安価に購入できる可能性があります。
- デジタル署名(コードサイニング証明書)は、今回は発行者が Microsoft でしたが、一般に多くの認証局で取得が可能です。
- 問題が発覚した後にできることは、基本的に「認証局等へ連絡し、当該署名の無効化を依頼する」ことに限られます。
さらに技術的な側面として、MSI インストーラーはカスタム アクション機能を利用することで、任意の PowerShell スクリプト等を含めることができてしまいます。したがって、ある程度の知識があれば、今回のように「流通しているインストーラーに似せたもの」に マルウェア ローダーを混入させることが可能です。
また、MSI ではなく EXE の実行型インストーラーであったとしても、PowerShell スクリプト等を含めること自体は容易であり、同様の攻撃が成立し得ます。
つまり、残念ながら、私どもソフトウェア会社にとって 「正規インストーラーに酷似した悪意のあるインストーラーの作成・流通そのもの」を完全に防ぐことは困難です。
不本意ながら、今後も非常に複雑かつ精巧な多段階型の PowerShell マルウェア ローダーを含むインストーラーが作成され得る、という点は現実として認識せざるを得ません。
その上で、今回の「本質的な問題」は大きく 2 点です。
- 私どもの Web サイトで利用されていた、ダウンロードに便利な リダイレクト(導線) が、気付かないうちに改変されてしまったこと
- 私どもの Web サイトに外部からアクセスされ、マルウェアを含む 問題のファイルが設置されてしまったこと
これらが重なったことで、「公式サイトからダウンロードしたお客様が被害に遭われた」という点に、私どもとして重い責任を感じております。防げなかったのか、という反省も含め、以後の対策に繋げてまいります。
6-1. EmEditor ホームページにマルウェアを含む問題のファイルが置かれていた件
マルウェアを含む問題のファイル emed64_25.4.3.msi 以外に、base64.php という別ファイルが、弊社 Web サイトのプラグインのディレクトリに設置されていたことが分かっています。この base64.php の内容を解析したところ、典型的なバックドア(遠隔コード実行/RCE)であることが判明しました。
さらに、WordPress テーマ用ディレクトリに以前から含まれていた footer.php にスクリプトが追加されていました。このスクリプトは、本来の URL であった https://support.emeditor.com/ja/downloads/latest/installer/64 へのユーザーのクリックを「横取り」し、当時、問題のあるインストーラーが置かれていた https://www.emeditor.com/wp-content/uploads/filebase/emeditor-core/emed64_25.4.3.msi に遷移させるものでした。
結果として、ホームページ上の「今すぐダウンロード」ボタンを押すと、問題のファイルがダウンロードされる状態になっていたことが分かりました。
さらに悪質な点として、このスクリプトは 未ログインの一般訪問者にのみ動作するようになっており、管理者側で確認しても気付きにくい(再現しにくい)状態になっていました。そのため、私自身が確認した際にも、リダイレクトが改変されていたことにすぐ気付けませんでした。
7. 問題の原因(現時点の見立て)
原因については現在も調査中であり、結論には至っていません。しかし、可能性としては次の点が考えられます。
WordPress は、本体、プラグイン、テーマ等の複数のパーツから成り立っており、多くの開発者が提供しています。これらのパーツには脆弱性が発見されることも多く、その都度、更新が提供されます。
私どもは平素よりプラグインやテーマの更新を行っていますが、脆弱性が発見されてから長期間にわたり、開発者による更新が提供されないこともあり、脆弱性が残存してしまう場合があります。今回の攻撃は、そのような脆弱性が狙われた可能性が否定できません。
さらに、使用していた SFTP アカウントが攻撃対象となった可能性も否定できません。
8. 弊社の対応(実施済み/今後)
弊社ではまず、問題のファイル emed64_25.4.3.msi を削除いたしました。加えてファイルの変更ログを調査し、base64.php の追加および footer.php の改変を確認しました。base64.php が典型的なバックドアであることを確認したため、全サイトのスキャンを実施しました。
その後、サイトを再構築し、すべてのプラグインを再インストールするとともに、不要なプラグインは使用しない方針といたしました。さらに、社内で使用しているコンピューターのスキャン、および全 WordPress サイトならびに関連サイトのログイン パスワード変更も実施しました。
また、従来「今すぐダウンロード」ボタン等で利用していたリンクについては、リダイレクトの使用を中止し、すべて安全なファイルへの直接リンクに置き換えました。ダウンロード ページでは MSI の SHA-256 を明記するとともに、デジタル署名を確認するよう説明を追加しています。
そして、EmEditor ホームページのダウンロード導線をより強固にするため、近い将来、EmEditor のホームページを WordPress とは異なる別のカスタム/静的ホームページへ移行することも検討しております。
9. 最後に
以上のとおり、マルウェアにより改変されたインストーラーは、実行されると非常に危険な挙動を取り得ます。しかしながら、私どもには「悪意あるインストーラーの作成・配布」そのものを根本的に阻止する手段がないのが実情です。
そのため、私どもができる最大のことは、第1配布先として、弊社 Web サイトからマルウェアが入手されないよう防御し続けることであると考えています。
また、Xoops や WordPress などの人気の高い CMS(コンテンツ・マネジメント・システム)は使い勝手が良い反面、拡張性が高いがゆえに脆弱性が見つかることも多く、単にプラグインやテーマの更新だけでは脆弱性を完全に拭い切れない、と今回あらためて感じました。
不幸中の幸いにも、エムソフト カスタマー センターは攻撃を受けておらず、当社のデータベースも安全でした。お客様データベースがアクセスされた証拠は確認されていません。
本インシデントによる経験が、少しでも他のソフトウェア会社の皆様のお役に立てばという思いから、単なるご報告に留まらず、可能な限りの詳細と考察を記載いたしました。
このたびは、皆様に多大なるご迷惑とご心配をお掛けしましたことを、重ねてお詫び申し上げます。特に、感染の被害に遭われた方々にはご迷惑をお掛けしましたことを深くお詫び申し上げます。
今後とも EmEditor をよろしくお願い申し上げます。
