【続報】EmEditorの日本語版Webサイトが改変 不正インストーラー混入：セキュリティニュースアラート

Emurasoftは、日本語版の公式Webサイトの一部が改変され、正規と異なるEmEditorインストーラーが配布された事案を公表した。他言語版のWebサイトや更新機能経由の配布には影響がないと説明されている。

[後藤大地，ITmedia]

　Emurasoftは2026年1月4日、テキストエディタ「EmEditor」の日本語版公式サイトにおいて不正に改変されたリンクを経由し、正規ではないインストーラーが配布された事案の続報を公開した。

　本件は2025年12月31日〜2026年1月2日にかけて発生した可能性があり、同社が以前公表した別の事案とは異なる独立した問題とされる。影響範囲は日本語版サイトに限定され、他言語版のWebサイトや更新機能経由の配布には影響がないと説明されている。

EmEditorのダウンロードリンクが改変　マルウェア配布が狙いか

　問題の核心は、公式ダウンロードリンクが第三者により改変され、利用者が意図せず別の保存先に置かれたマルウェアを含む可能性のあるファイルを取得してしまった点にある。配布されたファイルは同社が作成したものではなく、異なる組織名義の電子署名が付与されていた。現在は該当ファイルは削除されており、リンクも正規な状態に復旧したが、該当期間にインストーラーを取得した利用者は注意が必要だ。

　同社は正規ファイルと問題のあったファイルを明確に区別できるよう、ファイルサイズや電子署名の発行先、SHA-256ハッシュ値を提示した他、Microsoftに報告し、該当署名の無効化を要請した。正規版は同社名義の有効期間が長い電子署名が付与されているが、問題のファイルは短期間のみ有効な電子署名が付与されていた。

　更新チェッカー経由の更新やポータブル版、ストアアプリ版、「Winget」経由の導入などは影響を受けないことも併せて発表された。該当ファイルを取得していても実行していない場合は被害が生じない可能性が高いと同社は説明している。利用者が該当するかどうかを判断できるよう、「Windows」での電子署名の確認手順やハッシュ値の確認方法が具体的に示されている。

　万が一、問題のファイルを実行した可能性がある場合に備え、同社は段階に応じてネットワーク遮断や全体スキャン、環境の再構築検討、認証情報の見直しなどの推奨対応を提示している。ファイルを既に削除した場合でも、システム内に痕跡が残る可能性がある点を説明し、確認時の注意事項を示した。感染の有無を推定するための具体的な兆候や不審な通信先も列挙している。

　原因としては、Webサイト基盤で使用していた「WordPress」関連の弱点、もしくは管理用アカウントへの侵入が想定されている。再発防止策として、同社は全Webサイトを一時停止した上で調査を実施し、最終的に動的構成を廃し静的構成に移行した。これによって今後の同種事案の発生確率は低下すると見込まれている。顧客データベースへの侵入は確認されておらず、被害は限定的だとしている。