#977 EmEditor 公式サイトの「今すぐダウンロード」ボタンが改変、別組織のデジタル署名が付与されたファイルをダウンロード

今回は、多くのITエンジニアや開発者が日常的に利用している、著名なテキストエディタの公式サイトで発生したインシデントを取り上げます。公式サイトの正規のダウンロードボタンを押したはずなのに、全く別の組織が署名した不正なファイルが落ちてくるという、利用者にとっては防ぎようのない恐ろしい事態が発生しました。この事例を通じて、正規サイトへの信頼性に対する考え方と、デジタル署名の確認の重要性について理解を深めていきましょう。

あるテキストエディタの開発会社が、自社公式サイトでの重大なセキュリティ侵害を発表しました。具体的には、サイト上に設置されていたソフトウェアのダウンロードボタンの設定が第三者によって勝手に書き換えられてしまったのです。この改ざんは、2025年12月20日の午前11時39分から、23日の午前5時50分までの約3日間にわたって行われました。この期間にダウンロードボタンを押したユーザーは、本来の正規ファイルではなく、悪意を持って設置された別のファイルをダウンロードさせられた可能性があります。調査の結果、その不正なファイルには正規の開発元のものではなく、全く別の組織名のデジタル署名が付いていたことが判明しています。現在は該当ファイルは削除されていますが、実行すると危険なコマンドが動く仕組みになっていました。

デジタル署名とは、インターネット上で配布されるファイルが「誰によって作られたか」を証明し、さらに「作成後に改ざんされていないか」を保証するための、いわば電子的な印鑑証明のような技術です。通常、ソフトウェアをインストールする際には、画面に発行元の名前が表示されますよね。あれがデジタル署名の情報です。今回のケースでは、本来ならば開発会社の名前が表示されるはずの場所が、全く無関係な「WALSHAM INVESTMENTS LIMITED」という組織名になっていました。これにより、ファイルがすり替えられていたという事実が客観的に証明されたわけです。

それはウェブサイト上の「リダイレクト」という転送設定が攻撃者によって書き換えられてしまったからです。通常、ダウンロードボタンには「このボタンが押されたら、自動的にファイルの保存場所へ案内する」という転送の仕組みが設定されています。今回のインシデントでは、この案内先の住所が、正規のサーバーから攻撃者が用意した別のサーバーへと書き換えられていました。ユーザーから見れば、いつもの公式サイトの、いつものボタンを押しただけですので、裏側で転送先が変わっていることにはまず気づけません。これがこの攻撃手法の非常に恐ろしい点と言えます。

今回の不正ファイルには、PowerShellというWindowsの管理機能を悪用するコマンドが埋め込まれていました。具体的には「irm」と「iex」という略語のコマンドが含まれていたのですが、これはインターネット上にある特定のサイトから命令文をダウンロードし、それを即座にパソコン上で実行させるという挙動をします。つまり、攻撃者はいつでも好きなタイミングで、感染したパソコンに対して遠隔操作で命令を送ったり、ウイルスを送り込んだりできる状態を作ろうとしていたのです。非常に危険度が高い、典型的な攻撃への入り口となる動作です。

企業側での検知方法としては、ウェブサイトのファイルの変更を監視するシステムの導入や、アクセスログの定期的な解析などが挙げられます。しかし、今回のように正規のサーバーの設定だけを巧みに書き換えられると、検知が遅れることも珍しくありません。また、ユーザーからの「インストール時に知らない会社名が表示される」といった問い合わせで発覚するケースも多いです。そのため、企業はサーバーのセキュリティを強化するだけでなく、万が一改ざんされた場合に備えて、即座に異常を知らせるアラートシステムの整備や、外部からの通報を受け付ける窓口の設置が極めて重要になります。

最も有効で、かつ誰にでもできる対策は、インストールを開始する直前の確認画面をしっかり見ることです。Windowsの場合、ユーザーアカウント制御の画面が表示された際に、「確認済みの発行元」という欄に正しい会社名が表示されているかを必ずチェックしてください。もしそこに、今回のように見覚えのない組織名や、「不明な発行元」と表示されていた場合は、迷わず「いいえ」を押してインストールを中止すべきです。公式サイトからダウンロードしたからといって盲信せず、自分の目で署名を確認する習慣をつけることが、最大のリスク低減策になります。