EmEditorの公式サイトがまたしても改ざんの被害を受ける

2025年12月31日以降、Emurasoftが開発するテキストエディタ「EmEditor」の公式サイトが改ざんされ、インストーラーをダウンロードするボタンをクリックした際に非正規のファイルがダウンロードされる事態が発生したことが分かりました。Emurasoftは2025年12月23日にも同様のインシデントを報告していました。

【重要】EmEditor ホームページに関する不正リンク（マルウェア）について（続報） – EmEditor (テキストエディタ)
https://jp.emeditor.com/general/%E3%80%90%E9%87%8D%E8%A6%81%E3%80%91emeditor-%E3%83%9B%E3%83%BC%E3%83%A0%E3%83%9A%E3%83%BC%E3%82%B8%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E4%B8%8D%E6%AD%A3%E3%83%AA%E3%83%B3%E3%82%AF%EF%BC%88%E3%83%9E/

2026年1月4日にEmurasoftが発表したところによると、EmEditor公式サイトに存在するデスクトップインストーラー最新版(emed64_25.4.4.msi)のダウンロード先リンクが何者かによって改ざんされ、第三者のリンクに遷移するようになっていたとのこと。第三者のリンクにアクセスしたユーザーは、マルウェアを含む可能性のあるファイルをダウンロードしてしまった恐れがあるそうです。

影響が発生した可能性のある期間は2025年12月31日18時26分〜2026年1月2日1時51分です。Emurasoftによると、終了時刻は正確ですが、開始時刻はこれより遅い可能性があるとのことです。また、影響を受けたのは日本語版のウェブサイトだけです。

今回のインシデントは、2025年12月23日に報告された以下のインシデントとは別件です。

「EmEditor」公式サイトのダウンロード導線が改変された可能性、インストーラーが別のものにすり替わっている危険性あり - GIGAZINE

今回のインシデントにおいてEmurasoftが説明したところによると、日本語版EmEditorの公式サイトにおけるデスクトップインストーラー最新版のダウンロード先URLは「https://download.emeditor.info/emed64_25.4.4.msi」になっているはずが、当該期間中は「https://jp.emeditor[.]com/wp-content/uploads/2025/10/emed64_25.4.4.msi」に遷移するよう第三者により改ざんされていたとのこと。これは、WordPressのテーマ用ファイルであるfunctions.phpが無断で改変されていたことが原因だったそうです。

このfunctions.phpには悪意のあるスクリプトが追加されており、EmEditorホームページ内のリンククリックを「横取り」し、問題のあるインストーラーが置かれていたページに遷移させていました。問題のあるインストーラーにはEmurasoftの署名ではなく、GRH PSYCHIC SERVICES LTDという別組織のデジタル署名が付与されていたそうです。この署名は前回のインシデントで確認されたものとは異なりますが、発生の時期および手口から、Emurasoftは「前回のインシデントと同様のマルウェアである可能性が高いと考えられる」と報告しています。

Emurasoftは「WordPressの脆弱(ぜいじゃく)性が狙われた可能性、またはSFTPアカウントが攻撃対象になった可能性が考えられる」と判断し、対策として公式サイトにおけるWordPressの使用を中止し、従来の内容をすべてHTMLにエクスポートしてウェブサイトを静的サイトに変更しました。Emurasoftは「現在表示されている英語版と日本語版のEmEditorサイトはすべてWordPressを使用しない静的サイトとなっているため、安全と言えます」と伝えています。なお、この措置により公式サイトのフォーラムは閲覧専用になり、新規メンバーの登録は終了しました。

Emurasoftは「今回使用されたドメインは、前回のインシデントで用いられたものとは異なるドメインでした。公式サイトであるemeditor.comに似た名前のドメインが攻撃者により多数所有されていたこと、マルウェアが非常に精巧に作られている点、そして繰り返し攻撃を加えている事実に加え、クリスマス前の週末や正月に攻撃されたことから、攻撃者の高い執念が感じられます」と伝えています。

Emurasoftによると、以下の場合は本件の影響を受けないとのことです。

・EmEditorの更新チェッカーから更新した場合
・EmEditorにより自動更新が行われた場合
・emed64_25.4.4.msi以外のファイル
・ポータブル版
・ストアアプリ版
・wingetを利用してインストール／更新した場合
・問題のファイルをダウンロードしていたとしても、当該ファイルを実行していない場合
・日本語版サイト以外からダウンロードした場合

Emurasoftは、該当期間中にインストーラーを入手した可能性がある顧客に対し、「ダウンロードしたemed64_25.4.4.msiのデジタル署名およびSHA-256をご確認ください」と呼びかけています。

Emurasoftは「残念ながら、私どもソフトウェア会社にとって正規インストーラーに酷似した悪意のあるインストーラーの作成・流通そのものを完全に防ぐことは困難です。今回の本質的な問題は大きく『私どものウェブサイトで利用されていたダウンロード用リンクが気付かないうちに改変されてしまったこと』『私どものウェブサイトに外部からアクセスされ、マルウェアを含む問題のファイルが設置されてしまったこと』の2点です。これらが重なったことで、公式サイトからダウンロードしたお客様が被害に遭われたという点に、私どもとして重い責任を感じております。防げなかったのか、という反省も含め、以後の対策につなげてまいります」と述べました。