攻撃者が用意した偽のインストーラーは、正規品と同名。第三者名義の正規コードサイニング証明書まで取得し、一度対処しても次々とかたちを変えて攻撃を重ねてきた——2025年12月末から2026年1月初旬にかけて、テキストエディタ「EmEditor」の公式サイトが改ざんされ、ダウンロードボタンから不正なインストーラーが配布されるインシデントが発生した。

開発元のEmurasoftは、被害状況の詳細な告知と段階的な情報公開、静的サイトへの移行をはじめとする構造的な再発防止策を迅速に講じ、第11回情報セキュリティ事故対応アワードで優秀賞を受賞した。同社は2016年の第1回アワードでも優秀賞を受賞しており、10年ぶり2度目の受賞となる。代表の江村豊氏に、インシデント対応の経緯と教訓を聞いた。

  • 人物写真

    Emurasoft 代表 江村豊氏

ユーザーの通報で発覚、「痛恨の思い」

今回の攻撃は、公式サイトのダウンロードボタンのリンク先を改ざんし、正規品と同名の不正インストーラーに差し替えるという手口だった。

江村氏が異変に最初に気付いたのは、EmEditorを愛用するユーザーからのメールだった。一晩のうちに複数の通報が届き、その内容はPowerShellのコマンドや不正な接続先ドメインを具体的に指摘する専門的なものだったという。

「EmEditorのユーザーにはセキュリティの専門知識を持った方も多く、非常に具体的に教えていただきました。連絡がなければ発見はもっと遅れていたと思います。ユーザーの皆さんのおかげでした」(江村氏)

2014年にも同社はサプライチェーン攻撃の標的となっており、この対応が評価され2016年の第1回アワードを受賞しているが、当時は実質的な被害が出る前に対処できた。今回は被害が発生してからの発覚となり、同氏は「痛恨の思い」と振り返る。

初動対応においても、江村氏は「もっと改善できた点があった」と赤裸々に語る。

「当社Webサイトには外国語サイトもあるのですが、実は今回、日本語版と英語版のサイトが同時に被害を受けていたのです。英語版サイトは一度のクリーニングで対処できたのですが、日本語サイトの対応が少し遅れてしまいました。その結果、同じ攻撃者と思われる相手に別のデジタル署名を使ったマルウェアを再配置されるなど、被害の範囲を広げてしまったという強い反省があります」(江村氏)

「個人レベルとは到底思えない」 正規署名付きマルウェアの脅威 

攻撃者の手口は、10年前とは比較にならないほど執拗で巧妙になっていた。

攻撃者はあらかじめEmEditorに酷似した複数の偽ドメインを取得。Emurasoft側が対処しても、かたちを変えて2段目、3段目と執拗に攻撃を重ねてきたという。

さらに驚くべきは、マルウェア自体の高度な機能と偽装の手口だ。不正なMSIインストーラーには「WALSHAM INVESTMENTS LIMITED」など第三者名義の有効な正規コードサイニング証明書が付与されていた。通常、新規に取得した証明書ではSmartScreenなどのセキュリティ警告が表示されるが、今回の不正インストーラーではこうした警告が表示されなかった可能性があるそうだ。

海外のセキュリティ専門家から提供されたレポートによると、マルウェアの挙動は極めて悪質だ。インストーラーの実行時にPowerShellを非表示で起動し、外部から追加のコードを取得する多段階構成をとる。感染後はChromeブラウザの拡張機能を偽装してシステムに永続化し、キーロギングやスクリーンショットの取得、暗号資産の窃取までを行う。そのうえ、CIS(独立国家共同体)地域やイランからの接続だと判別した場合は、攻撃を停止する仕組みまで組み込まれていた。

江村氏はこの恐るべき脅威について、次のように語る。

「今までのマルウェアであれば、たいていのアンチウイルスソフトで防げたはずです。しかし今回のものは、定義ファイルが更新されるまではほとんどのソフトで検知できず、防ぐのが極めて難しい巧妙なものでした。複数の偽ドメインを用意する周到さや、痕跡を残さない工夫、ターゲットの国を絞る仕組みなどを見ても、個人レベルでは到底つくれないものであると感じました」(江村氏)

前回の教訓を生かし、FAQや確認手順を迅速に公開

発覚後、同社はXと公式ブログで計5回にわたる詳細な報告を公開。最終的なまとめ報告に至るまで、ユーザーに真摯に向き合い続けた。

今回の対応で特に高く評価されたのが、インシデント報告の丁寧さだ。影響を受けるケースと受けないケースの明確な切り分け、感染有無の確認手順、FAQなど、専門知識がなくても理解できる内容に仕上げられている。

「詳細をすべて調べてからまとめて発表するよりも、1分1秒でも早く注意喚起することを優先しました。また、前回の経験も踏まえ、できるだけ初心者にも分かりやすく書くことを心がけました。実際にお客さまから寄せられた『すでにインストールしてしまったが、アンインストールすれば問題ないか?』などといった質問をそのままFAQに反映し、対応方針も含め包み隠さずお伝えしました」(江村氏)

さらに、一連の報告書のなかで、江村氏は「悪意あるインストーラーの作成・流通そのものを完全に防ぐことはできない」と、ソフトウェア配布における問題の本質に踏み込んだ発言をしている。

「これは誤解を生みやすい表現だったかもしれませんが、『当社のサイトの外側』で、悪意ある人間が偽のインストーラーを公開・流通させることは、誰にも止めることができないという意味です。一方で、当社の公式Webサイト内にマルウェアを仕込まれることに関しては、絶対に防がなければならないし、防げると考えています。だからこそ、ユーザーの皆さまには『公式Webサイトからであれば、安心してダウンロードできる』ということをお伝えしたいです」(江村氏)

「公式サイトなら安全」を守るための再発防止策

再発防止策として、同社はまずサイト基盤を根本から見直した。攻撃の侵入経路として、WordPressの脆弱性に加え、FTPクライアントに保存されたSFTPアカウント情報の窃取の可能性も疑われた。

対策として、SFTPアカウントは原則削除し、必要時のみ一時的に作成する運用に変更。WordPressは管理者のIPアドレスのみにアクセスを制限したうえで、一般向けには静的HTMLとしてエクスポートしたサイトを公開する構成に切り替えた。さらに2026年4月には、ヘルプやダウンロード用に使っていた別ドメインを廃止し、全てをemeditor.comのサブドメインに統一する変更も実施している。

なお、EmEditorの更新チェッカーにはデジタル署名の自動検証機能が搭載されているため、自動更新を利用しているユーザーは今回のインシデントの影響を受けていない。この機能は2014年のインシデント後に実装されたもので、過去の教訓が具体的な防御策として機能したかたちだ。

「PCは常に外から見られていると思ったほうがよい」

江村氏は、今回の経験を踏まえて企業規模にかかわらず共有したい教訓があると話す。

「今の時代の前提として、PCのなかのデータは常に外から見られていると思ったほうがよいでしょう。マルウェアは、不用意にメールの添付ファイルを開いただけで入り込み、気が付かないうちにさまざまな情報を盗み出します。ですから、重要なソースコードや機密情報を扱うPCでは絶対にメールを開かないといった物理的な分離も必要です。

そして何より、従業員一人ひとりの意識レベルを上げること。全てのアカウントで二段階認証を必須にする。パスワードは最低でも20文字以上の複雑なものにし、パスワード管理ソフトを使って厳重に管理する。非常に基本的なことですが、こうしたルールの徹底こそが、巧妙化するサイバー攻撃から自社を守る唯一の道だと考えています」(江村氏)

Emurasoftは、社員わずか3名の小規模企業だ。大企業のように専任のCSIRTを持てないなかで、サプライチェーン攻撃の矢面に立ち、繰り返される攻撃に対処し、丁寧な情報公開を続けた。直近では社名を騙った偽求人広告への注意喚起も行っており、インシデント対応にとどまらないブランド悪用への対応まで負担が広がっている。こうした対応の一つひとつについて、同氏は「書くべきかどうか迷うこともある」としながらも、その判断基準は明確だ。

「ブランド名が少しでも悪用されたのであれば、規模にかかわらず注意喚起したほうがよい。そうした姿勢を示すことが、企業の信頼につながるからです」(江村氏)

基本的な対策の徹底と、透明性の高い情報公開。10年前と変わらないEmurasoftの姿勢が、2度目の受賞というかたちで再び評価された。