ニュース

「EmEditor」公式サイトに再びセキュリティインシデント、偽インストーラーが配信される

2025年12月31日から2026年1月2日にかけて発生か

2026年1月5日 16:58

同社のアナウンス

 米Emurasoftは1月4日(日本時間)、テキストエディター「EmEditor」の公式サイトで再びセキュリティインシデントが発生していたことを明らかにした。昨年末の事案とは別件だという。

 同社によると下記期間中、日本語版公式サイト(jp.emeditor.com/)で配信されていたインストーラー「emed64_25.4.4.msi」へのリンクが、正規の「download.emeditor.info」へのリダイレクト(遷移)ではなく、第三者がアップロードした「jp.emeditor.com」上のファイルへリダイレクトされるように書き換えられていた可能性がある。[今すぐダウンロード]ボタンなどをクリックすると、偽のインストーラーがダウンロードされる。

  • 2025年12月31日 18:26 ~ 2026年1月2日 01:51(日本時間)

 問題があったのは日本語版公式サイト(jp.emeditor.com/)だけで、他言語のサイトに問題はなかったようだ。また、影響のあった期間は広めに見積もられており、実際の開始日時はもっと遅かった可能性がある(終了日時は正確であるとのこと)。

 正規のファイルかどうかを見分けるには、電子署名やSHA-256ハッシュをチェックすればよい。ファイルサイズも少し違うようだ。

正規のファイル

  • ファイル名:emed64_25.4.4.msi
  • サイズ:81,469,440 bytes
  • 電子署名(発行先):Emurasoft, Inc.
  • 電子署名(発行者):Sectigo Public Code Signing CA R36
  • 電子署名(有効期間):2023/4/9 から 2026/4/9
  • SHA-256:09e884896467b8fa574b2adf22d792e039774b8fb1300ec26a59c951937eaa3c
  • 配布元:https://download.emeditor.info/emed64_25.4.4.msi

偽のファイル

  • ファイル名:emed64_25.4.4.msi
  • サイズ:81,473,024 bytes
  • 電子署名(発行先):GRH PSYCHIC SERVICES LTD
  • 電子署名(発行者):Microsoft ID Verified CS EOC CA 02
  • 電子署名(有効期間):2025/12/31 から 2026/1/3
  • SHA-256:da59acc764bbd6b576bef6b1b9038f592ad4df0eed894b0fbd3931f733622a1a
  • 配布元:https://jp.emeditor.com/wp-content/uploads/2025/10/emed64_25.4.4.msi(削除済み)

 偽ファイルで用いられていた電子署名の発行者はMicrosoftだったが、有効期間が短いこともあり、アプリ開発者向けに発行されたものと推測される。すでにEmurasoftがMicrosoftにインシデントの報告と失効依頼を行っているとのこと。

正規のファイルかどうかを確かめるには、インストーラーの右クリックメニューからプロパティダイアログへアクセスし、[デジタル署名]タブの「署名者名」を確認する

 もし偽のファイルをダウンロードした場合はけっして実行せず、ただちに削除するべきだ。さらに、マルウェアのスキャン、システムに不正な変更が加えられていないかの確認を行い、可能であればOSの再インストール、アプリやサービスのパスワードの変更なども検討したい。機密情報が漏洩している可能性もある。

 なお、以下の場合は今回のセキュリティインシデントの影響を受けないので安心してよい。

  • 「EmEditor」に内蔵されている更新チェッカー(Update Checker)を用いて更新した場合、または「EmEditor」により自動更新が行われた場合(更新チェッカーはデジタル署名が正規なものであるかどうかをチェックする)
  • 「emed64_25.4.4.msi」(v25.4.4)以外のファイル(「emed64_25.4.3.msi」に関しては前回のインシデントの続報を参照のこと)
  • ポータブル版
  • ストアアプリ版
  • 「winget」コマンドでインストール・更新した場合
  • 日本語版公式サイト(jp.emeditor.com/)以外からダウンロードした場合

 窓の杜で配信しているインストーラーにも問題はないことを確認している。

 同社は公式サイトの構築に利用している「WordPress」やファイル転送に利用していた「SFTP」アカウントが攻撃対象となった可能性があるとして、疑わしい個所のチェックやWebサイト全体のスキャン、パスワードの変更といった措置を実施したとのこと。併せてダウンロードリンクのリダイレクト廃止、ダウンロードページへのSHA-256ハッシュ値の記載、デジタル署名の確認を促す案内の追加といったセキュリティ強化策も施しているという。

 また、セキュリティをより強固にするため、英語版と日本語版のWebサイトを「WordPress」による動的生成から「WordPress」を使用しない静的生成へ移行している。近日中にそのほかの言語のWebサイトも静的サイトへ移行するとのこと。

Amazonで購入