12月下旬、人気テキストエディタEmEditorをめぐり、歓迎されないサプライチェーン上の“サプライズ”が発生しました。開発元によると、2025年12月19日から22日にかけて、公式サイトのダウンロードボタンが正規インストーラではなく、 чужая のデジタル署名が付いた改ざん済みMSIファイルを配布していた可能性があります。Emurasoft, Inc.ではなく、WALSHAM INVESTMENTS LIMITEDによって署名されていたこの不審なファイルは、その期間にインストーラをダウンロードした人にとって即座に赤信号となるものです。
EmEditorは12月23日、この「リスク期間」中に[今すぐダウンロード]ボタンの背後にあるリダイレクトが第三者によって改変され、Emurasoft由来ではないファイルが配布された可能性があると説明する公式通知を発表しました。同社は、emed64_25.4.3.msiのデジタル署名とハッシュを確認するようユーザーに促すとともに、EmEditor内蔵のアップデータ経由の更新、download.emeditor.infoからの直接ダウンロード、ポータブル版、ストア版、wingetによるインストールは影響を受けていないと強調しました。
ほぼ同時に、中国のセキュリティ研究チームQiAnXin(奇安信)は、脅威インテリジェンスのフィード内で同様の事案を観測し、攻撃チェーンの継続部分を遮断して、彼らが完全な悪性ペイロードだと考えるものを再構築したと報告しました。彼らの理屈は明快です。EmEditorは開発者、管理者、運用エンジニアといった技術系プロフェッショナルに好まれており、単一のインストーラが侵害されるだけで、組織的なデータ侵害に対する強力な足掛かりになり得るからです。
QiAnXinによれば、悪意あるMSIにはPowerShellコマンドを実行するスクリプトが含まれており、まずフォレンジック解析を困難にするためログ記録を抑止するところから始まっていました。続いて、OSバージョン、ユーザー名、その他のパラメータといった基本的なシステム情報を収集し、盗み出したデータを暗号化するためのRSA鍵を生成しました。研究者によると、初期のデータ流出は、正規のEmEditorドメインを装ったC2サーバー(emeditorgb.com)に送信され、リクエストには一意の被害者識別子が埋め込まれていたとされています。
その後に続いたのは、現代の情報窃取型マルウェアでおなじみの手順でした。報告書は、デスクトップおよびドキュメント/ダウンロードフォルダ内のファイル列挙、VPN設定の収集、Windows資格情報の抽出の試行、そしてブラウザ資産(Cookie、保存済みログイン情報、プロファイル設定)の略奪について記述しています。マルウェアはまた、Zoho Mail、Evernote、Notion、Discord、Slack、Mattermost、Skype、LiveChat、Microsoft Teams、Zoom、WinSCP、PuTTY、Steam、Telegramなど、幅広い人気アプリケーション/サービスも標的にしていました。画面キャプチャも含まれており、収集データはarray.binという名前のアーカイブにまとめられたとされています。
研究者が強調した注目すべき点として、実行前の言語チェックがあります。最終段階に進む前に、マルウェアはシステム言語を調べ、「望ましくない」地域を検出すると自己終了しました。そのリストには旧ソ連諸国やイランが含まれていたと報告されており、露出を減らし、現地当局の注意を引かないようにするため、脅威アクターがよく用いる手口です。
永続化のために、QiAnXinは、Google Drive Cachingという一見無害な名前のブラウザ拡張機能が攻撃チェーンによってインストールされたと報告しています。この拡張機能は長期的なアクセスを維持し、データ窃取を継続するよう設計されていました。詳細なデバイスフィンガープリント(CPU、GPU、メモリ容量、画面解像度、タイムゾーン)を収集できるほか、Cookie、閲覧履歴、拡張機能一覧、ブックマークを流出させ、さらにはキーストロークの取得まで可能でした。報告書は、サイバー犯罪者のスイスアーミーナイフのような機能を強調しています。暗号資産アドレスの置換(30種類以上の資産タイプに対応すると主張)、Facebook広告データの窃取、そしてスクリーンショット取得やローカルファイルの読み取りからURLのオープン、ページ内で任意のJavaScriptを実行することまで可能な遠隔操作コマンド群です。
この拡張機能の初期C2エンドポイントはcachingdrive.comで、週次でローテーションするフォールバックのドメイン生成アルゴリズム(DGA)も備えているとされています。意図は明白です。たとえ1つのドメインが迅速にテイクダウンされても、インフラは停止に耐え、最小限の混乱で新たな制御ポイントへ移行できるということです。
実務上の教訓は、気まずいほど普遍的です。たとえ見慣れた「テキスト編集」ユーティリティであっても、配布経路が侵害されれば侵入口になり得ます。2025年12月19日から22日の間に、特に公式サイトの[今すぐダウンロード]ボタン経由でEmEditorをインストールした場合は、状況を最大限深刻に受け止めるのが賢明です。インストーラの署名とハッシュを検証し、システム全体のスキャンを実施し、特にブラウザデータと社内メッセージングツールを精査してください。これらはこの種のキャンペーンにおける主要な標的だからです。
