テキストエディター「EmEditor」を提供するEmurasoftは12月23日、公式サイトのダウンロード導線が第三者により改変された可能性があるとして、セキュリティインシデントを公表しました。
対象期間中に公式サイトの「今すぐダウンロード」ボタンからインストーラーを取得した場合、正規ファイルではない別のファイルが配布されていたおそれがあるとしています。
■ 影響期間は3日間、第三者によるリダイレクト改変の疑い
同社によると、影響が発生した可能性があるのは、2025年12月20日11時39分から12月23日5時50分(いずれも日本時間)までの間。
この期間中、通常は正規のダウンロード先へリダイレクトされるはずのリンク設定が改変された疑いがあるといいます。その結果、同社が作成していないインストーラーファイルが配布される状態になっていました。問題のファイルはすでに削除されています。
確認されている影響は、64ビット版インストーラー「emed64_25.4.3.msi」のみ。正規ファイルと同一のファイル名を持つものの、サイズがわずかに異なり、デジタル署名が本来の「Emurasoft, Inc.」ではなく、「WALSHAM INVESTMENTS LIMITED」となっている点が特徴です。
日本語ページに限らず、英語ページなど他言語版の同種ダウンロードURLも影響を受けた可能性があるとしています。
■ 更新機能や公式サーバー経由の入手は影響なし
また、EmEditorの更新チェッカーや自動更新機能を利用した場合や、公式のダウンロードサーバー「download.emeditor.info」から直接取得した場合、またポータブル版やストアアプリ版、winget経由でのインストール・更新については影響を受けないとしています。
さらに、該当するファイルをダウンロードしていたとしても、実行していない場合は被害はないとのことです。
■ 利用者に確認と対応を要請、実行すると外部コード取得の危険性
当該インストーラーは、見た目上はEmEditor本体のインストールが正常に完了するため、異常に気付きにくい点が特徴です。
このため同社は、対象期間中にインストーラーを取得した可能性がある利用者に対し、ファイルのデジタル署名やSHA-256ハッシュ値を確認するよう呼びかけています。
署名やハッシュが一致しない場合、マルウェアを含む可能性があるとして、直ちにネットワークから切り離した上でのウイルススキャンや、必要に応じた環境の再構築、各種パスワード変更などを推奨しています。
問題のインストーラーは、実行時に外部ドメインからファイルを取得・実行しようとする挙動が確認されており、同社は「危険ですので、このコマンドは絶対に実行しないでください」と注意を促しています。
■ 原因と影響範囲を調査中、再発防止策を検討
Emurasoftは現在、事実関係や影響範囲の調査を継続しており、進展があり次第、公式サイトなどで速やかに報告するとしています。
同社は今回の事態を重く受け止め、原因究明と再発防止策に取り組むとして、利用者に改めて謝罪しました。
<参考・引用>
EmEditor「【重要】EmEditor インストーラーのダウンロード導線に関するセキュリティ インシデントのお知らせ」
