最近、人気の文章作成・コーディングツールEmEditorをダウンロードした方は、念のためPCを再確認したほうがよいかもしれません。2025年12月19日から12月22日にかけて、ソフトウェアの公式サイトでセキュリティ侵害が発生し、メインの「Download Now」ボタンが本物のプログラムではなく、偽の悪意あるインストーラーを配布していました。
ツールの開発元であるEmurasoft, Inc.は、第三者がサイトのリダイレクト設定を改ざんしたことを突き止めました。これにより、ユーザーは安全な更新を入手しているつもりでも、実際にはサイト内の別の場所へ誘導され、同社が作成したものではないファイルをダウンロードさせられていました。
偽物の見分け方
Emurasoftの公式通知によると、偽ファイルは非常に紛らわしい見た目をしています。本物と同じ名前(emed64_25.4.3.msi)が使われ、サイズもほぼ同じです。しかし、詳しく調べると大きな決定的証拠が見つかりました。それがデジタル署名です。正規ファイルはEmurasoft, Inc.によって署名されていますが、疑わしい版はWALSHAM INVESTMENTS LIMITEDという組織によって署名されていました。
中国の研究企業QianxinのRedDrip Teamは、この「インフォスティーラー」マルウェアを調査し、いったんシステムに侵入すると、Slack、Discord、Steamなどのアプリのログイン情報を探し、さらにブラウザ履歴、VPN設定、保存されたパスワードまで狙うことを突き止めました。これらはすべて、裏で本物のEmEditorのインストールが継続される一方で行われるため、異常に気づきにくくなっています。
分析によれば、この攻撃は技術系スタッフや官公庁を特に標的にしています。ファイルを盗むだけでなく、マルウェアはデスクトップのスクリーンショットを撮影し、Evernote、Notion、PuTTY、WinSCPといった専門ツールも狙います。さらに「自爆」機能も備えており、PCが旧ソ連地域またはイランにあると検知すると、検出を避けるために動作を停止します。
最も懸念されるのは、「Google Drive Caching」と呼ばれる偽のブラウザ拡張機能をインストールする点です。これにより攻撃者はブラウザを遠隔操作でき、支払い時に暗号資産の送金先アドレスをすり替えて、資金を攻撃者へ直接送らせることが可能になります。
データを守るために
ソフトウェア内蔵の自動更新ツールで更新した場合、「Portable」版を使用した場合、またはdownload.emeditor.infoから直接ダウンロードした場合は、おそらく安全です。問題はホームページ上のメインボタンに特有のものでした。
ただし、誤って不正なファイルを入手した可能性がある場合は、インストーラーを右クリックして[プロパティ]を開き、[デジタル署名]タブを確認するのが最善です。会社名が違っている、またはそのタブ自体が存在しない場合は、ファイルを削除し、絶対に実行しないでください。
100%確実にしたい場合、本物のファイルのフィンガープリント(SHA-256)は次と一致するはずです:e5f9c1e9b586b59712cefa834b67f829ccbed183c6855040e6d42f0c0c3fcb3e。
すでにインストールしてしまった人については、専門家は、データが攻撃者に送信されるのを止めるため、直ちにネットワークから切断することを推奨しています。その後、完全なウイルススキャンを実行し、その端末に保存していたパスワードをすべて変更してください。特に二要素認証を有効にしていない場合は重要です。Emurasoftは、今回の件で顧客に不便をかけたことを謝罪し、状況に応じて更新を提供するとしています。
「私たちは引き続き事実関係を調査し、影響の全容を特定しています。より多くの情報が得られ次第、このページおよび/または公式チャネルを通じて更新情報を提供します。私たちは本件を非常に重大に受け止めており、原因の特定と再発防止のために必要な対策を実施します。今回の件によりご不便とご心配をおかけしたことを、改めて心よりお詫び申し上げます。ご理解と、EmEditorへの継続的なご支援に感謝いたします」と、Emurasoftの通知には記されています。
翻訳元: https://hackread.com/emeditor-homepage-download-button-malware/
