「EmEditor」公式サイトのダウンロード導線が改変された可能性、インストーラーが別のものにすり替わっている危険性あり

Emurasoftが開発するテキストエディタ「EmEditor」の公式サイトで、インストーラーをダウンロードするボタンが第三者によって改変された疑いが生じたことが分かりました。

【重要】EmEditor インストーラーのダウンロード導線に関するセキュリティ インシデントのお知らせ – EmEditor (テキストエディタ)
https://jp.emeditor.com/general/%E3%80%90%E9%87%8D%E8%A6%81%E3%80%91emeditor-%E3%82%A4%E3%83%B3%E3%82%B9%E3%83%88%E3%83%BC%E3%83%A9%E3%83%BC%E3%81%AE%E3%83%80%E3%82%A6%E3%83%B3%E3%83%AD%E3%83%BC%E3%83%89%E5%B0%8E%E7%B7%9A%E3%81%AB/

2025年12月23日にEmurasoftが発表したところによると、EmEditor公式サイトのダウンロード導線上に存在する「今すぐダウンロード」ボタンに関し、第三者による改変が疑われる事象を確認したとのこと。

影響が発生した可能性のある期間は2025年12月20日11時39分〜2025年12月23日5時50分です。この期間中に当該ボタンからダウンロードされたインストーラーは、Emurasoftのデジタル署名が付与されていない非正規ファイルである可能性があります。Emurasoftは期間を広めに見積もっており、実際にはもっと狭い期間であった可能性があると伝えています。

ウェブサイト上の「今すぐダウンロード」ボタンのリンク先は通常「https://support.emeditor.com/ja/downloads/latest/installer/64」となっています。

URLは、適宜必要なインストーラーがダウンロードされるようにリダイレクトされるよう設定されていますが、当該期間中はリダイレクト設定が第三者により改変された疑いがあり、本来とは異なる「https://www.emeditor[.]com/wp-content/uploads/filebase/emeditor-core/emed64_25.4.3.msi」というURLにリダイレクトされる状態になっていたそうです。

当該ファイルを起動すると、emeditorjp[.]comからファイルを取得して実行するためのコマンドが走ります。しかし、このドメインはEmurasoftが管理するものではなく、Emurasoftは「絶対に実行しないでください」と呼びかけています。

なお、当該コマンドが実行されたときにダウンロードされるファイルには「WALSHAM INVESTMENTS LIMITED」という別組織のデジタル署名が付与されていることが確認されています。

発表時点で影響が確認されているファイルは「emed64_25.4.3.msi」のみ。以下の通りファイルサイズにも違いがあります。

なお、以下の条件に合致する場合、本件の影響を受けません。

・EmEditorの更新チェッカーから更新した場合
・EmEditorにより自動更新が行われた場合
・download.emeditor.infoから直接ダウンロードした場合(例：https://download.emeditor.info/emed64_25.4.3.msi)
・emed64_25.4.3.msi以外のファイル
・ポータブル版
・ストアアプリ版
・wingetを利用してインストール／更新した場合
・問題のファイルをダウンロードしていたとしても、当該ファイルを実行していない場合

Emurasoftは、該当期間中に「今すぐダウンロード」からインストーラーを入手した可能性がある顧客に対し、「ダウンロードしたemed64_25.4.3.msiのデジタル署名およびSHA-256をご確認ください」と呼びかけています。

デジタル署名は、ダウンロードしたファイルのプロパティを開き、「デジタル署名」というタブをチェックすれば分かります。デジタル署名が「Emurasoft, Inc.」となっていれば問題ありません。「デジタル署名」タブが表示されない場合もありますが、その場合は当該ファイルは実行せず削除してください。

SHA-256のハッシュ値は、インストーラーがあるディレクトリでPowerShellを開いて以下を実行し、出力された値が「e5f9c1e9b586b59712cefa834b67f829ccbed183c6855040e6d42f0c0c3fcb3e」であることを確認すれば問題ありません。

Get-FileHash .\emed64_25.4.3.msi -Algorithm SHA256

デジタル署名が「Emurasoft, Inc.」ではなく「WALSHAM INVESTMENTS LIMITED」となっている場合、またはSHA-256のハッシュ値が一致しない場合、マルウェアを含む可能性のある改ざんされたファイルの恐れがあります。影響を受けた可能性のある顧客に対し、Emurasoftは以下の対応を呼びかけました。

・直ちに当該コンピューターをネットワークから切り離す
・コンピューター全体のマルウェアスキャンを実施する
・状況により、可能であればOSを含む環境のリフレッシュ／再構築を検討する
・当該端末で利用・保存していた情報が漏えいしている可能性も考慮し、各種サービスのパスワード変更、必要に応じて多要素認証の有効化を検討する

Emurasoftは「現在、事実関係の確認および影響範囲の調査を継続しております。進展があり次第、本ページ等にて速やかにご報告いたします。弊社では本事象を厳粛に受け止め、原因究明と再発防止に向けて必要な対策を講じてまいります。このたびは、皆様に多大なるご迷惑とご心配をお掛けしましたことを、重ねて深くお詫び申し上げます。今後とも EmEditor をよろしくお願い申し上げます」と述べました。