テキストエディター「EmEditor」を提供するEmurasoftは1月4日、公式サイトに関するセキュリティインシデントの続報を公表しました。
ただし、今回の事案は、2025年12月23日に発表されたインシデントとは別件とされています。一方で、公式サイトのダウンロード導線が改ざんされ、不正なインストーラーが配布されていた点などから、同社は一連の攻撃の流れの中で起きたものとして、詳細を報告しています。
発表によると、影響を受けた可能性があるのは「日本語版公式サイト」から、「2025年12月31日18:26~2026年1月2日01:51(日本時間)」にかけて最新版インストーラー「emed64_25.4.4.msi」をダウンロードした利用者です。この期間、リンクが第三者により改ざんされ、マルウェアを含む別ファイルがダウンロードされる状態になっていたとしています。
問題のファイルは正規のものと同一ファイル名を使用していましたが、デジタル署名の発行先は「Emurasoft, Inc.」ではなく「GRH PSYCHIC SERVICES LTD」という別組織名義となっていました。
また、Emurasoftは影響を受けないケースとして、更新チェッカーや自動更新機能、winget、ストアアプリ版などを利用した場合を挙げています。一方、該当期間中に問題のファイルを入手した可能性がある利用者に対しては、「デジタル署名およびSHA-256をご確認ください」とし、もし不一致の場合はマルウェアスキャンや環境の見直しを行うよう呼びかけています。
再発防止策として同社は、脆弱性が狙われたと思われるWordPressの使用を停止し、公式サイトを静的サイトへ移行しました。これにより、今後同様の手口による侵害リスクは大幅に低下すると報告しています。
今回の事案で確認された手口は前回公表された事案と共通点が多く、明言こそ避けたものの、「繰り返し攻撃を加えている事実」との認識を示しました。同社は「攻撃者の高い執念が感じられます」とコメントしています。
<参考・引用>
EmEditor「【重要】EmEditor ホームページに関する不正リンク(マルウェア)について(続報)」
