EmEditor 公式サイトでインストーラー改ざん-マルウェア 配布の経緯と調査結果を発表

セキュリティニュース

投稿日時: 更新日時:

EmEditor 公式サイトでインストーラー改ざん-マルウェア 配布の経緯と調査結果を発表

Emurasoft, Inc.は2025年12月、テキストエディタ「EmEditor」の公式サイトにおけるダウンロード導線が第三者により改ざんされ、正規ではないインストーラーが配布された可能性があるセキュリティインシデントについて、詳細な調査結果と続報を公表しました。

影響が生じた可能性のある期間

調査の結果、問題のあるインストーラーが配布された可能性がある期間は、

  • 日本時間:2025年12月31日18時26分 ~ 2026年1月2日1時51分

  • UTC:2025年12月31日9時26分 ~ 2026年1月1日16時51分

とされます。

また、日本語版 EmEditor Web サイト(https://jp.emeditor.com/)のみが影響が発生し他言語のサイトには影響はありません。

この期間中に、EmEditor公式サイト上の「今すぐダウンロード」ボタンなどの導線を利用した場合、正規のインストーラーではないファイルがダウンロードされた可能性があります。ただし、この期間は安全側に広く見積もったものであり、実際の影響時間はこれより短かった可能性もあるとしています。

確認された不正インストーラーの概要

調査により、正規ファイルと同じファイル名を用いた不正なMSI形式のインストーラーが少なくとも複数確認されました。これらのファイルはいずれもEmurasoftが発行したデジタル署名ではなく、別の組織名義のコード署名が付与されていました。

一見すると正規ファイルのように見えるものの、デジタル署名の発行元やファイルサイズ、ハッシュ値が正規版とは異なっており、攻撃者が短期間だけ有効な証明書を悪用した可能性が高いとされています。現在、当該署名は無効化されており、実行時には警告が表示される状態になっています。

不正リンク改ざんの手口

本来、正規のダウンロード先は公式配布用ドメイン(download.emeditor.info)に設定されていましたが、第三者によりリンクが改ざんされ、WordPress上に設置された別のURLへ誘導されていました。

その結果、公式サイトからダウンロードしたにもかかわらず、マルウェアを含む改ざんファイルが配布される状態になっていました。特に悪質だった点として、この改ざんは未ログインの一般訪問者にのみ動作する仕組みで、管理者側では気付きにくい状態だったと説明されています。

問題のインストーラーと正規ファイルの違い

問題となったファイルと正規ファイルは、ファイル名が同一である一方、以下の点が異なっていました。

  • デジタル署名の発行元が異なる

  • ファイルサイズが微妙に異なる

  • SHA-256ハッシュ値が一致しない

問題のファイルには「GRH PSYCHIC SERVICES LTD」という別組織名の署名が付与されており、Microsoft発行の短期間有効なコード署名証明書が使われていたことも確認されています。

マルウェアとしての挙動とリスク

問題のあるインストーラーを実行した場合、PowerShellを利用して外部のサーバーへ接続し、追加の不正コードを取得・実行しようとする挙動が確認されています。

調査報告では、以下のようなリスクが指摘されています。

  • 外部から不正なプログラムを取得する多段階型の攻撃構造

  • 認証情報やシステム情報が窃取される可能性

  • ファイルに痕跡を残さず、メモリ上で動作するケースがある点

そのため、利用者が異常に気付きにくく、被害が長期間にわたって継続する恐れがあるとされています。

発見が遅れた背景

本件が発覚しにくかった理由として、次の点が挙げられています。

  • 正規インストーラーと同一のファイル名が使われていたこと

  • 一見すると有効に見えるデジタル署名が付与されていたこと

  • 公式サイトからのダウンロードという利用者の信頼を突いた点

  • 管理者がログインしている場合には不正動作が再現しにくい仕組みだったこと

これらの要因が重なり、通常の確認作業では異常を検知しにくい状況が作られていました。

攻撃手法と侵入経路の見立て

調査では、公式サイトを構成するWeb環境において、以下の不正な改変が確認されています。

  • マルウェアを含むインストーラーファイルの設置

  • バックドアとして機能するスクリプトの追加

  • ダウンロードリンクを不正ファイルへ誘導する仕組みの埋め込み

侵入経路については、Webサイト管理環境に存在していた脆弱性や認証情報の侵害など、複数の可能性が考えられるものの、現時点では特定には至っていません。

Emurasoftの対応と再発防止策

Emurasoftは本件を受け、以下の対応を実施したと説明しています。

  • 不正ファイルおよびバックドアの完全削除

  • Webサイトの再構築と不要な機能の整理

  • 管理アカウントを含む認証情報の全面変更

  • ダウンロード導線の見直しと安全性向上

  • 正規インストーラーのハッシュ値公開と検証手順の案内

今後については、より安全性の高い配布体制への移行も検討しているとしています。

利用者への注意喚起

同社は、公式サイトからダウンロードしたファイルであっても、デジタル署名やハッシュ値を確認することの重要性を強調しています。また、今回のような手口は他のソフトウェアでも起こり得るとして、利用者側でも基本的なセキュリティ確認を行うことが重要だとしています。