2025年12月下旬、著名なテキストエディタEmEditorの開発元は、同アプリケーションの公式配布ポータルが侵害されたことに関する正式な注意喚起を発表しました。攻撃者は正規のインストーラを密かに差し替え、複数段階のマルウェア群を拡散するよう設計された有害な改変版を配布していました。これは、データの流出、防御側のヒューリスティックの回避、そして企業アーキテクチャへの侵入を可能にする仕組みです。
米国企業Emurasoftが開発するEmEditorは、日本の ソフトウェア開発コミュニティの間で特に強い支持を得ています。この人口統計的な偏りは、被害者が外科的に選別されていたことを示唆しており、特定の地政学的地域、あるいは専門性の高い職業集団を狙っていた可能性があります。この悪意ある活動の秘匿性は、攻撃ロジックがインストール処理の完了時にのみ起動されるという点によってさらに高められており、その結果、長期間にわたり検知されないままシステム内に潜伏する確率が上がります。
Trend Microによるフォレンジック分析によれば、侵害されたインストールファイルはPowerShellコマンドを実行し、その後、正規のリソースを装ったドメインから悪性コードの第1段階を取得しました。続いて、主要ペイロードを内包する2つの補助スクリプトが取得されました。これらの内容は、置換・削除・切り詰めといった文字列操作手法を組み合わせて覆い隠されており、静的解析からロジックを判別しにくくするよう難読化されていました。
そのうちの1つのスクリプトは、PowerShellのイベントログ記録を無効化し、認証情報を流出させ、稼働中のセキュリティソリューションの有無を調査しました。さらに、画面のキャプチャや、仮想化環境/サンドボックス環境の存在を判別する機能も備えていました。2つ目のスクリプトは、端末に関する詳細な技術テレメトリを収集し、地理的位置を検証したうえで、これらのデータをコマンド&コントロール(C2) サーバーへ送信する処理を組織的に実行しました。
収集されたあらゆる情報は、管理用ドメインcachingdrive[.]comへ送信されました。通信内に固有の識別子が繰り返し現れることから、特定のキャンペーン識別子が用いられていたことが示唆されます。報告によれば、同社の公式発表以前に、複数のユーザーが感染ファイルを意図せず入手していたとのことです。
本件は、公式リポジトリからソフトウェアを入手したとしても、もはや完全な安全性が保証されないことを痛感させる出来事です。この種の侵害に対する防御を強化するには、デジタル署名とファイル整合性の検証、PowerShell実行の制限、そしてログ機構の無効化を狙う試みの厳格な監視が不可欠です。さらに、最小権限の原則を徹底し、管理者アカウントを厳密に監督することが極めて重要です。開発者およびソフトウェアベンダーにとっては、配布インフラの保全を存亡に関わる最優先事項として位置付け、厳格なアクセス制御、継続的な監視、そしてエンドユーザー向けの強固な認証手段の提供を行う必要があります。
翻訳元: https://meterpreter.org/the-developers-trap-emeditor-supply-chain-attack-drains-credentials/
