8月18日にEmurasoftは同社が開発、販売しているテキストエディタ「EmEditor」において、ソフトウェアの更新機能を使用した際にマルウェアに感染する可能性があったことを発表しました。ここでは関連情報をまとめます。
概要
8月13日にEmurasoftが同社のWebサイトが不正アクセスを受け、情報が漏えいした可能性があることを発表しました。さらにその5日後の8月18日にEmEditorの更新チェックを行った際にマルウェアに感染する可能性があったことを発表しました。尚、この記事中の日付は日本時間として記述していますが、前後している可能性もあり参考程度として下さい。
公式発表
Emurasoft Webサイト 不正アクセス関連
1.Emurasoft Webサイト不正アクセスインシデント
(1) 被害状況
- 発生日時 2014年8月13日
- 不正アクセスを受けたWebサイト
- 日本語版Webサイト http://jp.emeditor.com/
- 簡体字中国語版Webサイト http://zh-cn.emeditor.com/
- 英語版等のWebサイト、及びエムソフトカスタマーセンターは被害を受けていない。
- 英語、日本語版サイトはWordPressで運営されている。
(2) 発端
- ハッカーによる悪意のあるコードの痕跡が確認されたため。
(3) 原因
- Emurasoftからは発表されていない
(4) 対応
- Webサイトの緊急的な停止措置(現在は復旧)
- サーバー管理会社と協力し、原因の調査及びクリーンアップ作業を実施
- すべてのWebサイトに問題がないことを確認
- Webサイト利用者のパスワードをリセット(強制変更)
- フォーラム利用者へパスワード変更を呼びかけ
- フォーラム新規ユーザーの自動登録の停止
- Webサイトへの不正アクセスについて発表
2.EmEditor 更新サイト改ざんインシデント
(1) 被害状況
- 発生日時 2014年8月18日 22時36分〜8月19日 3時20分(日本時間)
- 発生日時の判断基準はサーバー管理会社の最新のバックアップが8月18日 22時36分であり、そこに不審なファイルが含まれていなかったことによる。
被害内容
- 不正アクセス元により設置されたファイル(editor.txt)をEmurasoftが削除してしまっていたことにより被害詳細については不明。
影響を受けた可能性のある対象
以下のすべての条件を満たした場合に影響を受ける可能性がある。
- (1) 当該期間においてEmEditorを起動した。
- (2) Emurasoftが発表している特定のIPアドレス経由でインターネットを使用していた。
- (3) 以下のいずれかの利用者であった。
- (4) 更新機能を次の様に設定・実行した。
- 自動更新機能を有効にしていた。
- 手動更新により、感染可能性のある時間帯にチェックを行った。
- 更新チェックはEmEditorを起動しなければ実行されない。
- インストール直後から30日間は試行版としてProfessional版が利用可能である。
- ポータブル版で利用している場合は更新チェック機能は無効化されているため対象外と思われる。
- Free版には自動更新機能が存在しないため対象には含まれないと思われる。
- 自動更新は最新版が存在するかのチェックに留まり、ダウンロード、及びインストールは既定で無効にされている。
- どのエディションを使用しているか確認するにはヘルプからEmEditorのバージョン情報を参照する。
(2) 発端
(3) 原因
(4) 対応・対策
(5) 接続先に関する情報
EmEditor更新チェック時の接続先情報
正規のアップデート接続先URL
www.emeditor.com/pub/updates/(更新定義ファイル名)
- 更新定義ファイル名
emed32_updates.txt
emed64_updates.txt
emed32_updates_ja.txt
emed64_updates_ja.txt
インシデントタイムライン
日付 | 出来事 |
---|---|
8月13日 | EmurasoftのWebサイトが不正アクセスを受け、情報漏えいした可能性がある。 |
8月14日 | Emurasoftが同社Webサイトへ不正アクセスがあったことを発表。 |
8月15日 | Emurasoftが不正アクセスに関する続報、及びパスワードの変更を呼びかけ。 |
8月18日 22時36分 | サーバー管理会社がEmurasoftのWebサイトのバックアップを取得。 |
この間 | EmEditorの更新チェックを行った際にマルウェア感染する可能性。 不正アクセス元により.htaccessや不審なファイル(editor.txt)が設置されたと推測される。 |
8月19日 3時20分 | Emurasoftが不審なファイルの設置に気付き、これらを削除。 |
8月19日 | EmurasoftがEmEditorの更新情報を格納したサーバーに不正アクセスがあり、マルウェアに感染する可能性があったと発表。 |
8月20日 | Emurasoftが不正アクセスの被害詳細について続報を発表 |
8月21日 | Emurasoftが更新チェッカーの機能を無効したEmEditorの最新版を公開 |
8月22日 | Emurasoftが不正アクセスの被害詳細について続報を発表 |
8月29日 | Emurasoftが同社Webサイト(emeditor.com)をSSL化 |
10月3日 | EmurasoftがJPCERT/CCより受けた不正アクセスの最終調査報告を発表 |
更新履歴
*1:計算して算出したと思われる
*2:「EmEditor」の更新機能でマルウェア感染のおそれ - 特定IP狙われる,Security-NEXT,2014/08/21アクセス:魚拓