テキストエディタ「EmEditor」日本語版サイト改ざん、偽インストーラーからマルウェア感染の可能性
正規のサイトが改ざんされ、インストーラーをダウンロードしようとしたユーザーが、マルウェアを含む別ファイルをダウンロードした可能性がある。
テキストエディタ「EmEditor」を提供するエムソフトは1月4日、日本語版「EmEditor」のWebサイト(https://jp.emeditor.com/)が年末年始にかけて改ざんされ、同サイトからインストーラーをダウンロードしようとしたユーザーが、マルウェアを含む別ファイルをダウンロードした可能性があると発表した。
EmEditorの公式サイトは昨年12月20日〜23日にも改ざんされ、インストーラーのリンク先がマルウェアに変えられていた。今回再び、同様の問題が起きた形だ。
改ざんされていた可能性がある期間は、2025年12月31日午後6時26分〜2026年1月2日午前1時51分。この期間中、EmEditorのデスクトップインストーラーのダウンロード先が、本来とは異なるページにリダイレクトするよう、第三者によって改変されていた。
改ざんの原因としては、WordPressの脆弱性が突かれたか、SFTPアカウントが攻撃された可能性が考えられるという。対策として、WordPressの使用を中止し、従来の内容をすべてHTMLにエクスポートし、静的サイトに変更した。
偽のリダイレクト先からダウンロードされるファイル名は「emed64_25.4.4.msi」で、正規のものと同じ。電子署名の発行先は「GRH PSYCHIC SERVICES LTD」で、同社とは別組織(本来の発行先名は「Emurasoft, Inc.」)、発行者は「Microsoft ID Verified CS EOC CA 02」、有効期間は「2025/12/31〜2026/1/3」。
電子署名はMicrosoftから発行された正規のものだが、有効期間が数日間と短く、同社は「開発者向けに近い形で発行された署名である可能性が高い」とみている。
該当の期間中にインストーラーを入手した可能性があるユーザーには、ダウンロードしたファイルのデジタル署名やSHA-256を確認し、正規のものか確認すること、正規のものでなければ、マルウェアのスキャンや、 OSを含む環境のリフレッシュ・再構築を検討することなどを推奨している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「あなたのSNS広告で著作権侵害を確認しました、詳細はこちら」→マルウェア配布 IIJが攻撃メールを複数確認
IIJが、著作権侵害通知をかたり、マルウェアのダウンロードを促すメールを複数確認したとして注意を呼び掛けた。同社の広報問い合わせ窓口でも8月末から複数受信している他、ユーザー企業にも同様のメールが送られているといい、文面などの詳細を公開している。
その「私はロボットではありません」は本物? マルウェア感染狙う“偽CAPTCHA”出現 米Microsoftが注意喚起
「私はロボットではありません」の画面に偽装してユーザーのクリックを誘い、Windowsをマルウェアに感染させようとする手口が横行しているという。
R-18コンテンツを開いているブラウザタブを検知・スクショするマルウェア Webカムで撮影も 性的脅迫に使用か
アダルトコンテンツを開いているWebブラウザタブを検知し、そのスクリーンショットを撮影。さらにWebカメラの映像もスクリーンショットする──米セキュリティ企業Proofpointが、そんな機能を持つマルウェアを確認したとして、調査結果を発表した。
マルウェア感染でサイト改ざん→「対抗できない」ため仮設サイトオープン 日本体操協会
日本体操協会は、公式Webサイトが5月末に不正アクセスを受けて改ざんされた後、「対抗できない状況が続いている」ため、一時的に仮設のWebサイトを開設した。