EmEditorウェブサイトがサプライチェーン攻撃の標的に、広範なデータ収集と持続的脅威が判明。

EmEditor公式サイト侵害、サプライチェーン攻撃の可能性

人気テキストエディタ「EmEditor」の公式ウェブサイトが、サイバー攻撃者によるサプライチェーン攻撃を受けたことが明らかになった。
攻撃者は2025年12月19日から22日にかけて公式サイトを侵害し、マルウェアを含むインストールパッケージを配布していたとされる。
EmEditorの開発元であるEmurasoft, Inc.によると、当時ユーザーは偽のデジタル署名が付与されたMSI形式のインストールファイルをダウンロード可能な状態にあったという。
これらのファイルには「WALSHAM INVESTMENTS LIMITED」とする正規ではないデジタル署名が含まれていた。

攻撃の影響と主な標的

この攻撃は、特に中国の開発者や技術者の間でEmEditorの利用が広く普及していることから、影響が大きいとみられている。
悪性のMSI形式インストールファイルには、システムログを無効化し、データ窃取を目的としたC#クラスを展開するPowerShellコマンドを実行するスクリプトが含まれていた。
マルウェアは、オペレーティングシステムのバージョンやユーザー名などのシステム情報を収集し、RSAで暗号化した上で、emeditorgb.comとされる指令・制御（C2）サーバーに送信していたという。

多様なデータ収集と送信手法

攻撃者は、Desktop、Documents、Downloadsといった主要ディレクトリを対象にファイル一覧を収集し、暗号化されたアーカイブとしてまとめていた。
さらに、VPN設定やWindowsのログイン資格情報、クッキー、保存されたパスワード、ユーザー設定情報など、各種ブラウザ関連データも取得していたとされる。
このほか、Zoho Mail、Evernote、Notion、Discord、Slack、Mattermost、Microsoft Teams、Zoomといったコラボレーションツールのほか、WinSCPやPuTTYなどのファイル転送ツールも標的に含まれていた。

悪性ブラウザ拡張機能と持続性の確保

特に注目されるのは、「Google Drive Caching」を装った持続型の悪性ブラウザ拡張機能だ。
この拡張機能はcachingdrive.comと通信し、定期的に生成されるドメインを利用することで、インフラが遮断された場合でも活動を継続できるよう設計されていた。
拡張機能は、システムのメタデータやブラウザ履歴、インストール済みの拡張機能、ブックマークを収集するほか、30種類以上の暗号資産ウォレットアドレス形式に対応したクリップボードハイジャック機能も備えていた。

セキュリティ勧告と対応

Emurasoftは、EmEditorの内蔵アップデートチェッカーを利用して更新したユーザーや、download.emeditor.infoから直接ダウンロードしたユーザー、ならびにポータブル版やストア版を使用しているユーザーについては、本件の影響を受けていないと説明した。
一方で、企業に対しては、影響の可能性があるシステムを速やかに隔離し、包括的なマルウェア検査を実施するとともに、漏えいの恐れがある資格情報のパスワードをリセットし、多要素認証を有効化するなどの対応が求められている。