投稿

Emurasoft logo

EmEditor ホームページ全体が SSL 暗号化通信に移行しました

日頃より、EmEditor をご利用いただき、誠にありがとうございます。

8月29日に、すべての外国語ページを含む EmEditor ホーム ページ全体が SSL 暗号化通信で保護されました。これにより、ホーム ページ上の通信が暗号化され、ハッカーによる個人情報の盗聴から保護されるようになりました。日本語の EmEditor ホーム ページの URL は、https://jp.emeditor.com/ に変更になりました (先頭の http が https に変更されました)。従来の URL にアクセスしても、新しい URL に自動的に変更されます。

これに伴い、EmEditor ホーム ページの IP アドレスは変更になっています。これらの移行のため、一部の時間帯においては、EmEditor ホーム ページへの接続ができなかったり、正しく表示されなかったことがありました。事後報告になったことをお詫びいたします。

SSL 暗号化通信に移行後、ライブラリのファイル ページが正しく表示されないという不具合が発生しました。そのため、現在のところ、ファイル一覧をクリックすると、ファイルの詳細ページをスキップして、すぐにダウンロードが開始するように動作を変更しています。しばらくの間、調整のために、ライブラリに関しては不具合が発生する可能性がありますがご了承ください。

皆様には大変ご迷惑をお掛けして申し訳ありません。

なお、エムソフト カスタマー センター (https://support.emeditor.com/?lid=2) は、従来から SSL により保護されています。

今後もよろしくお願い申し上げます。

Emurasoft logo

今回のハッカーによる攻撃の詳細の続報

今回のハッキングの事件に関して、お客様には大変ご迷惑をお掛けして申し訳ありませんでした。

この度、JPCERT/CC (コーディネーションセンター) 様、IPA情報処理推進機構様、その他多くのセキュリティ関連会社様より、電話会議やメールを通して、ご協力やご助言を得ることができ、大変感謝しております。サーバー管理会社の協力により、多くの関連ログが取得できたため、問題の解析が進む見込みです。

更新チェッカーを作成している Advanced Installer の作成元の会社から、マルウェアのインストールの可能性について回答がありました。マルウェアがインストールされる可能性はあるが、マルウェアならば、Emurasoft, Inc. が発行元のデジタル署名が付いていないはずなので、インストーラーのダイアログや UAC (ユーザーアカウント制御) ダイアログが表示されるはずだとのことです。

前回のブログの質問と回答集以外にも、お客様からは、さらに多くのご質問をいただいております。お客様にさらにご理解いただき、また他のウェブ サイト管理者の皆様のご参考になればと思い、ここに追加の情報を公開することに致しました。

1. マルウェアがインストールされたかどうかを調べる方法は、ウィルス検査以外にありますか?

更新をダウンロードすると、通常、C:\ProgramData\Emurasoft\EmEditor\updates\ に更新定義ファイルが保存され、その中にサブフォルダが作成されて、更新インストーラーも保存されます。このフォルダの実際のパスは、[ヘルプ] メニューの [更新チェッカーのカスタマイズ] を選択すると、[更新オプション] ダイアログが表示されます。この中の [ダウンロード フォルダ] で確認していただけます。万一、このフォルダ内のサブフォルダに保存されているインストーラーに、Emurasoft, Inc. が発行元のデジタル署名が付いていない場合には、マルウェアが保存された可能性があります。万一、このようなファイルを見つけた場合には、実行せずに、[email protected] 宛てに速やかにご連絡ください。ただ、巧妙なマルウェアなら痕跡を残さずに実行された可能性もあることが考えられます。

customier_updater_dlg

2. 更新時に、何かダイアログや UAC (ユーザーアカウント制御) ダイアログが表示されるでしょうか?

EmEditor v14.5.0 以上が既にインストールされた状態で、Emurasoft, Inc. が発行元のデジタル署名が付いた更新インストーラーの場合は、新たなダイアログや UAC (ユーザーアカウント制御) ダイアログは表示されません。

EmEditor v14.5.0 以上が既にインストールされた状態で、Emurasoft, Inc. が発行元のデジタル署名が付いていない更新インストーラーの場合は、新たなダイアログが表示されるはずで、コンピューター本体に変更が加えられる場合には、通常は UAC (ユーザーアカウント制御) ダイアログが表示されます。

EmEditor v14.5.0 未満が既にインストールされた状態での更新では、どのような場合でも、新たなダイアログが表示されるはずで、コンピューター本体に変更を加えられる場合には、通常は UAC (ユーザーアカウント制御) ダイアログが表示されます。

3. ブログに掲載されていた IP アドレス一覧に、私の IP が含まれている場合、EmEditor サーバーにアクセスされたという意味でしょうか?

いいえ、ブログに掲載されていた IP アドレス一覧に、お客様の IP アドレスが含まれていたからといって、EmEditor サーバーにアクセスされたことを意味しているわけではありません。この IP アドレスの一覧は、ハッカーが置いた .htaccess ファイルから書き写したもので、アクセス ログとは全く別のものです。.htaccess ファイルは、簡単に書くと、通信をリダイレクトする IP アドレスを指定しているファイルです。つまり、ここに書かれている IP アドレスのみ、マルウェアの可能性のあるファイルのインストールを指示していたということになります。.htaccess は、ハッカーが記述したファイルで、弊社が書いたファイルではありません。

4. 私の IP が EmEditor サーバーにアクセスされたかを調べることはできますか?

はい。前回のご報告の後、サーバー管理会社の協力を得て、問題が発生した日時の前後のアクセス ログ、エラー ログ、FTP ログなどを取得することができました。アクセス ログを調べれば、お客様の IP アドレスでアクセスされたかどうかを調べることができます。ただ、巧妙なハッカーなら、アクセス ログを書き換えていたことも考えられるため、これで完全に調べられるとは言い切れないものがあります。もし弊社で調査を希望される場合は、お客様の IP アドレスを添えて、[email protected] 宛てにお問い合わせください。

5. EmEditor Free として使用している場合でも問題の可能性がありますか?

EmEditor Free として使用されている場合は、更新チェックの機能が無効になっているため、問題の可能性はありません。

6. 更新チェックの機能を無効にするには、どうしたらいいでしょうか?

本日公開した v14.5.4 に更新していただければ、更新チェックの機能は完全に取り除かれます。EmEditor を使用されている皆様は、この最新版に更新されることを強くお勧めします。更新される場合、EmEditor の更新チェックの機能は既に使用できなくなっているため、ダウンロード ページより最新版をダウンロードして更新してください。なお、既存のバージョンで、更新チェックを無効にされたい場合は、[ヘルプ] メニューの [更新チェッカーのカスタマイズ] で、[更新を自動的にチェックしない] を選択していただくことでも可能です。また、EmEditor のインストールの段階で、カスタム インストールを選択して、更新チェックを無効にされた場合、および INI ファイルを使用するポータブル版の場合は、更新チェッカーは完全に無効になっています。

7. 更新チェッカーの今後について

更新チェッカーを作成するのに使用した Advanced Installer の開発元からは、更新チェッカーのセキュリティ改善に向けて前向きな回答をいただいています。改善の方法としては、デジタル署名で確認する方法、および設定定義ファイルをプライベートキーで署名する方法の 2 種類が考えられるとの回答を得ています。本サーバーの安全と更新チェッカーの改善が確認できれば、更新チェッカーの利用が再開できるようにしたいと考えています。

8. 今後の対策について

サーバー管理会社によるクリーンアップ作業は終了し、現在は正常だという回答を得ています。また、古い XOOPS を使用していた外国語サイト、および EmFTP のサイトはすべて削除いたしました。

現在、JPCERT/CC 様には、サーバーのアクセス ログなどをお渡しして、問題の解析をお願いしています。何かハッカーの手口や原因がもっと詳しくわかれば、対策は行いやすくなります。しかし、ハッカーがどのように悪意のあるファイルを置いたかを特定するのは、難しいのではないかと思います。

サーバー会社から取得した弊社が所有するドメインのすべての FTP ログによると、弊社の FTP サーバーは、一般には公開されていないにも関わらず、8月1日から19日までの間だけで、201個もの異なる IP アドレスから不正なログインが試みられています。中には数分毎にアクセスを試みている総当たり攻撃が確認されています。なお、ログによれば、不正なログインは 1 つも成功していません。しかし、総当たり攻撃から防ぐため、問題の IP アドレスからのアクセスを禁止する処理を行うことにしました。

さらに、サーバー上の不要なファイルを整理、削除して、必要なファイルだけを置くようにし、悪意のあるファイルが置かれた場合でもすぐに発見できるように監視を続けていく所存です。

以上です。

皆様には大変ご迷惑をお掛けして申し訳ありませんでした。

今後もよろしくお願い申し上げます。

参考:

Emurasoft logo

今回のハッカーによる攻撃の詳細について

今回のハッキングの事件に関して、お客様には大変ご迷惑をお掛けして申し訳ありませんでした。

EmEditor は、お客様のご意見を承りながら、私が何年間も掛けて大切に創り上げて参りましたプログラムです。皆様に安心して使っていただけるはずだった更新チェッカーがハッカーに悪用されたことについて、大変遺憾に思っておりますと共に、お客様には大変ご迷惑をお掛けして申し訳なく思っております。

お客様より、多くのご質問を頂いております。また、情報をもっと公開すべきというご意見も頂いております。当初は、ハッキングの内容まで詳細な情報を公開することには不安があったのですが、それよりも情報を共有することにより、お客様にさらにご理解いただき、また他のウェブ サイト管理者の皆様のご参考になればと思い、多くの情報を公開することに致しました。

皆様からのご質問と回答についてまとめました。

1. ハッカーの手法について

EmEditor の更新チェッカーは、Advanced Installer で作成された更新チェッカーを使用しています。EmEditor でのファイル名は、 eeupdate.exe です。この更新チェッカーは、既定の設定では、定期的に、 http://www.emeditor.com/pub/updates/(更新定義ファイル) をチェックしています。更新定義ファイルのファイル名は、emed32_updates.txt、emed64_updates.txt、emed32_updates_ja.txt、emed64_updates_ja.txt のいずれかになります。これらの更新定義ファイルには、インストールするインストーラーへのパス、更新内容の説明、ファイルのサイズ、更新日など、インストーラーの詳細が記述されています。(詳しくは、 http://www.advancedinstaller.com/user-guide/updates-configuration.html を参照してください)

今回の事件では、/pub/updates/ のフォルダに、ハッカーにより .htaccess ファイルが置かれていました。このファイルには、以下の内容が記述されていました。

——–
SetEnvIf Remote_Addr “106\.188\.131\.[0-9]+” install
SetEnvIf Remote_Addr “133\.6\.94\.[0-9]+” install
(… 同様に70行 …)
SetEnvIf Remote_Addr “124\.248\.207\.[0-9]+” install
RewriteEngine on
RewriteCond %{ENV:install} =1
RewriteRule (.*\.txt)$ /pub/rabe/editor.txt [L]
———

そして、ハッカーによって置かれたもう1つのファイルは、 /pub/rabe/editor.txt でした。これは、実際の更新定義ファイルに似ていました。しかし、その時は特に問題だと思わず、単純に削除してしまいました。ファイルを削除してしまったため、サーバー管理者に問い合わせて、バックアップを探したのですが、見つかりませんでした。もし、このファイルを削除せずにバックアップを取っておけば、さらに多くの情報を見つけることができたので、これについては、非常に残念で悔いが残っています。大変、申し訳ありません。

したがって、/pub/rabe/editor.txt にある更新定義ファイルの内容によっては、実際にマルウェアだったのか、無害のファイルだったのか、あるいは、ハッカーが実際のマルウェアを導入する前のテスト段階だったのか、現在のところ、断定できないでいます。

2. 自動インストールは有効にしておらず、更新チェックが有効の場合には、問題はありませんか?

実際にインストールが行われていなければ問題はありません。自動インストールは、既定では無効になっています。自動インストールが有効になっていなければ、お客様が、手動で、更新を指定しない限り、自動的にインストールが行われることはありません。更新をチェックしただけで実際の更新 (インストール) を行っていなければ、問題はありません。

3. 更新チェックの実行条件は?

更新チェックは、EmEditor を起動時で、指定されている日数間隔で行われます。(既定は、EmEditor のバージョンにより 1日~5日)。EmEditor を起動しない限り、更新チェックが実行されることはありません。

4. 感染リスクのある時間帯の判断根拠は?

私が問題のファイル (.htaccess と editor.txt) の存在に気付いて削除したのは、日本時間の 8/19 午前 3:20 頃でした。サーバー会社による最後のバックアップが取られたのが、8/18 午後 10:36 でしたが、そのバックアップにこれらのファイルが存在しなかったため、問題のファイルが置かれた時間は、最後にバックアップが取られた後ということになります。

5. 現在公表されている以前の時間帯で、更新チェックの問題が無かったことは確認済みですか?

これについては、残念ながら、確実に問題がなかったと断言はできません。しかし、毎日、サーバー上のファイルの変更は監視していて、以前には、このような問題には気付いたことがありませんでした。

6. 感染するウイルスの種類は?

問題のファイル editor.txt を削除してしまったため、本当にマルウェアがリダイレクトされていたかも判断できない状態です。したがって、感染されるウィルスの種類も特定できていません。実際にはマルウェアやウィルスではなかった可能性があります。

7. 実際にマルウェアに感染された組織は?

現在のところ、マルウェアやウィルスに感染された事例は1つの報告もありません。また、実際にマルウェアやウィルスが存在したかどうかも確認できていません。マルウェアやウィルスの感染あくまでも可能性であり、実際には、マルウェアやウィルスは存在せず、ハッカーのテスト段階でウィルス感染を未然に阻止できている可能性があることも考えられます。

8. 問題のファイルを提供できますか?

.htaccess ファイルについては手元にありますが、個々の IP アドレスが個人情報に該当しますので、お教えできるのは、上記の内容ということでご理解いただけると幸いです。もう1つのファイルである editor.txt については、削除してしまったため、バックアップにも見つからなかったため、残念ながら、手元にない状態です。これついては、本当に申し訳ありません。

9. ウイルスが置かれた原因は、XOOPSのどういう脆弱性が攻撃された可能性が高いのでしょうか?

まず最初に、ハッカーが実際に XOOPS の脆弱性を利用したかどうかについても、実際には判断できない状態ですが、可能性として書かせていただきます。

現在では削除されている、ロシア語、チェコ語、イタリア語、スペイン語、フランス語の EmEditor ウェブ サイトでは、XOOPS Cube 2.0.16a JP (2006年) が使用されていました。XOOPS には、以下のような脆弱性が報告されていますが、XOOPS にはいくつかの派生があり、必ずしもすべての事例が当てはまるとは限らないのでご留意ください。

http://www.exploit-db.com/exploits/32097

http://www.exploit-db.com/exploits/32098

http://www.exploit-db.com/exploits/5057

http://www.exploit-db.com/search/?action=search&filter_page=1&filter_description=xoops&filter_author=&filter_platform=0&filter_type=0&filter_lang_id=0&filter_exploit_text=&filter_port=0&filter_osvdb=&filter_cve=

XOOPS Cube 2.0.16a JP については、XOOPS Cube の日本バージョンの最後のバージョンで、開発が停止していました。そこで、新しい XOOPS の別の派生バージョンへは、互換性の問題で更新ができないままでいました。

10. IP アドレス一覧に私の IP が含まれていなければ問題はありませんか?

IP アドレス一覧にお客様の IP アドレスが含まれていなければ、更新チェックを行ったとしても、問題はなかったと考えられます。

11. EmEditor ホーム ページにアクセスしただけでウィルスに感染するのでしょうか?

EmEditor ホーム ページにアクセスしただけでウィルスに感染するというとは考えられません。

12. 全ファイルスキャンをすると時間がかかるため、まず最初に確認した方がよいフォルダがあれば、教えていただけると助かります。

残念ながら、実際にマルウェアが存在したかどうかもわからないため、もしマルウェアに感染されたとしても、どこにマルウェアがインストールされているかもわからない状態です。大変申し訳ありません。

13. ウィルススキャンで何も発見されなければ問題ないのでしょうか? ウィルススキャンソフトによっては検知できないということはありませんか。

残念ながら、マルウェアだったとしても、どのようなウィルスが存在したかを特定することはできません。通常に知られているウィルスであれば、Windows に付属、または市販のセキュリティ ソフトウェアで検出できると考えられます。

14. 今後の対策について

今回、問題の可能性が高い XOOPS によるサイトをすべて削除いたしましたが、ハッカーがどのような手法で悪意のあるファイルを置いたのかが分からない状態です。英語、日本語のサイトは WordPress を用いて運営されています。WordPress は、常に自動的に最新のバージョンに更新を行っており、使用しているプラグイン、テーマも毎日、常に最新版に更新を行っています。また、iThemes Security プラグインを用いて、セキュリティ レベルをできるだけ上げていますが、ハッカーの手口は非常に巧妙で、どのような対策を行っても、ハッカーを 100% 完全に防ぐことは、残念ながら難しいと言えます。そこで、WordPress を使用しないウェブサイトへの移行、サーバー ホスト会社の変更なども視野に入れて、対策を検討しています。

また、更新チェッカーを作成している Advanced Installer の作成元の会社には、状況を説明して、次の 2 つの質問を行っているところです。

(1) 更新チェッカーによりマルウェアが実際にインストールされる可能性はあるかどうか。

(2) 更新チェッカーにより、実行する更新プログラムが、デジタル署名により開発元のプログラムであることを確認してから更新する手法は可能かどうか。

デジタル署名の確認方法が可能であれば、将来のバージョンではより安心して更新できるようになるはずです。

以上です。

皆様には大変ご迷惑をお掛けして申し訳ありませんでした。

今後もよろしくお願い申し上げます。

Emurasoft logo

EmEditor 更新チェックによるウィルス感染の可能性について

日頃より EmEditor をご利用いただき、誠にありがとうございます。

日本時間の 8/18 午後 10:36 から 8/19 午前 3:20 (推定) の最大約5時間弱の間に、EmEditor ホーム ページ上のサブ フォルダに、ハッカーにより、悪意のあるファイルが置かれているのが見つかりました。これにより、ある特定の IP アドレスから、EmEditor の更新チェックの機能を利用すると、EmEditor の更新ファイルではなく、悪意のあるファイルがインストールされてしまう可能性があったことがわかりました。 IP アドレスの一覧は次の通りです。

* は、0 から 255 の任意の数字であることを示します。以下の IP アドレスについては、この * の範囲の 256 個のすべての IP アドレスが、問題に該当します。

12.44.85.*
12.189.27.*
12.233.153.*
42.147.69.*
49.101.250.*
61.211.224.*
63.119.133.*
64.102.249.*
64.235.145.*
64.235.151.*
66.129.241.*
77.248.69.*
86.111.221.*
106.139.26.*
106.188.131.*
114.160.192.*
118.103.17.*
118.238.0.*
124.248.207.*
133.6.1.*
133.6.91.*
133.6.94.*
133.56.0.*
133.74.211.*
133.173.2.*
150.26.82.*
173.36.196.*
173.38.209.*
182.162.60.*
188.111.86.*
194.98.194.*
198.135.0.*
199.167.55.*
203.104.128.*
203.180.164.*
204.15.64.*
209.97.118.*
210.17.188.*
210.172.128.*
210.174.36.*
210.224.179.*
216.228.150.*
219.195.174.*

以下の IP アドレスについては、この # で示した 0 から 255 のうち、実際には、1 個の IP アドレス (0 から 255 のいずれか) のみが該当しますが、個人情報の保護の観点から、実際の IP アドレスを # で隠しています。この IP アドレスの範囲に該当されるお客様は、該当する IP アドレスかどうかをお調べいたしますので、お客様の IP アドレスを添えて、[email protected] 宛にお問い合わせいただければ幸いです。

12.234.38.#
61.202.251.#
101.110.12.#
101.110.14.#
101.110.15.#
101.111.185.#
108.28.100.#
117.103.185.#
118.159.230.#
118.159.235.#
124.85.138.#
126.205.203.#
133.6.76.#
153.163.255.#
180.0.96.#
180.6.227.#
202.7.107.#
202.62.253.#
206.13.28.#
210.148.24.#
210.164.30.# (2個のIP)
210.169.198.#
210.175.75.#
210.233.113.#
210.237.143.#
211.7.234.#

万一、上の IP アドレスのいずれかに該当される場合で、問題の時間帯に更新チェックを行われた場合には、お客様のコンピュータにウィルスが感染されている可能性がありますので、お客様のコンピューターのウィルス スキャンを行っていただけますよう、お願い申し上げます。

お客様の IP アドレスは、www.google.com で、「My IP」と入力していただくと表示されます。

今回の対応策として、問題の可能性がある古い Xoops による外国語 Web ページをすべて削除し、サーバー管理会社により再び完全なスキャンが行われています。何か進展がございましたら、ご報告いたします。本サーバーで連絡ができない場合は、Twitter、Google+、Facebook なども利用いたします。

弊社では、今回の事態の深刻さを厳粛に受け止め、再発の防止に向けて、最善の努力を尽くす所存です。
皆様には大変ご迷惑をお掛けして申し訳ありません。

今後もよろしくお願い申し上げます。

Emurasoft logo

クリーン アップ作業が終了しました

日頃より EmEditor をご利用いただき、誠にありがとうございます。

先日、ご案内いたしました通り、日本語 EmEditor ホーム ページ (本サイト) および簡体字中国語 EmEditor ホーム ページにおいて、ハッカーによる悪意のあるコードの痕跡が見つかりました。そのため、弊社では、直ちに Web サイトを停止して、サーバー会社の協力により、原因の究明とクリーン アップ作業を行いました。

先ほど、クリーン アップ作業が終了し、他の言語、およびエムソフト カスタマー センターを含む、すべてのウェブサイトにて問題がないことが確認できました。

今回の対応策として、日本語 EmEditor ホーム ページ (本サイト) のアカウントのパスワードは、すべて変更させていただきました。そして、アカウントをお持ちの皆様には、変更した旨のメールをお送りいたしました。そのメールに書かれている通り、次回ログインの前にパスワードをリセットしていただけますよう、お願い申し上げます。メールが届いていない場合には、ログインの前に「パスワードの紛失」をクリックし、お客様のユーザー名またはメール アドレスを入力してください。

なお、これを機会に、将来のハッカーへの対応策として、セキュリティのレベルをより一層高くしました。また、セキュリティのレベルを上げるため、今まで行われていた新規ユーザーの自動登録は停止させていただきましたので、新しく入会を希望されるお客様は、お問い合わせフォームを使ってご連絡ください。

皆様には大変ご迷惑をお掛けして、申し訳ありませんでした。

今後ともよろしくお願い申し上げます。

Emurasoft logo

本サイトのハッカーによる攻撃について

日頃より EmEditor をご利用いただき、誠にありがとうございます。

昨日 (8/13)、日本語 EmEditor ホーム ページ (本サイト) および簡体字中国語 EmEditor ホーム ページにおいて、ハッカーによる悪意のあるコードの痕跡が見つかりました。そのため、弊社では、直ちに Web サイトを停止して、サーバー会社の協力により、原因の究明とクリーン アップ作業を行っていました。日本語のサイトにおいては、フォーラム利用者のユーザー名、パスワード、IPアドレスを盗もうとする痕跡が見つかっています。当初、サイトが改ざんされていたため、管理者の私がログインすることができなかったため、またサーバー管理者による原因究明とクリーンアップ作業の終了を待っていたため、すぐに告知することができず、ご報告が遅くなり申し訳ありませんでした。さきほど、日本語 EmEditor ホーム ページのスキャンとクリーンアップ作業が完了しました。

日本語 EmEditor ホーム ページ  (本サイト) にアカウントをお持ちのお客様は、直ちにアカウントのパスワードの変更をお願いいたします。本サイトのパスワードを変更するには、フォーラム ページ内の右側のフォームによりログインの後、右上の「プロフィールを編集」をクリックしてください。ただ、パスワードの変更が強制的に必要になる方法を現在、検討中のため、再度、変更が必要になる可能性があることをご了承ください。また、同じパスワードを、エムソフト カスタマー センターや他のウェブサイトと共有されている場合には、そちらのパスワードも変更されることを強くお勧めします。

なお、英語を含む他の言語の EmEditor ホーム ページ、およびエムソフト カスタマー センターについては、現時点では、問題は見つかっていません。しかし、念のため、これらのサイトにアカウントをお持ちのお客様においても、パスワードの変更、および他のサイトと同じパスワードを共有されている場合は、それらのサイトのパスワードの変更をお勧めします。

皆様には大変ご迷惑をお掛けして申し訳ありません。現時点においても、念のため、他の言語のホーム ページのスキャン作業は継続しています。何か進展がございましたら、ご報告いたします。

今後もよろしくお願い申し上げます。