株式会社エムソフトは1月4日、EmEditor Webサイトに関する不正リンク(マルウェア)について発表した。
本件は、2025年12月23日に公表したEmEditor 公式サイトにおけるダウンロード導線に関するセキュリティインシデントとは別件のインシデントで、日本語版 EmEditor Webサイト( https://jp.emeditor.com/ )のみが影響を受けている。
同社によると、日本時間2025年12月31日午後6時26分から2026年1月2日午前1時51分に、EmEditor ホームページ上の「emed64_25.4.4.msi へのリンク」(ダウンロードページやブログページ)からインストーラーをダウンロードした場合、同社(Emurasoft, Inc.)が提供する正規ファイルではない別ファイルがダウンロードされた可能性があるとのこと。
日本語版 EmEditor Webサイトでは、EmEditor デスクトップ インストーラー最新版のダウンロード先として「 https://download.emeditor.info/emed64_25.4.4.msi 」 がリンクされていたが、当該期間中にリンクをクリックすると「 https://jp.emeditor.com/wp-content/uploads/2025/10/emed64_25.4.4.msi 」に遷移するよう第三者に改変されたことで、マルウェアを含む問題のファイル「emed64_25.4.4.msi」がダウンロードされてしまう現象が発生している。
なお、当該ファイルには同社の署名ではなく「GRH PSYCHIC SERVICES LTD」という別組織のデジタル署名が付与されていた。付与されていたデジタル署名は、Microsoft から発行されたもので、有効期間が数日間と非常に短いことから、いわゆる開発者向けに近い形で発行された署名である可能性が高いと同社では推測している。
同社では Microsoft に対し当該ファイルを添付して本インシデントを報告するとともに、当該デジタル署名の無効化を要求している。
同社では原因について、WordPressの脆弱性が狙われた可能性、またはSFTPアカウントが攻撃対象になった可能性があると推測している。
同社では、今回使用されたドメイン( emeditorltd.com )は、前回(2025年12月23日公表)のインシデントで用いられた emeditorde.com、emeditorgb.com、emeditorjp.com、emeditorsb.com とは異なるドメインで、公式サイトである「emeditor.com」に似た名前のドメインが攻撃者により多数所有されていたこと、マルウェアが非常に精巧に作られている点、繰り返し攻撃を加えている事実に加え、クリスマス前の週末や正月に攻撃されたことから、「攻撃者の高い執念が感じられ」るとしており、「再び同様の攻撃が行われても不思議ではないため、WordPress という動的サイトから、HTML/CSS/JS ベースの静的サイトへ移行することを決定し、実行し」たとのこと。
