ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2014-08-20

EmEditor更新時にマルウェア感染の可能性があったIPアドレスを調べてみた

| 01:29 |  EmEditor更新時にマルウェア感染の可能性があったIPアドレスを調べてみたを含むブックマーク

8月18日にEmurasoftは同社が開発、販売しているテキストエディタEmEditor」において、ソフトウェアの更新機能を使用した際にマルウェア感染する可能性があったことを発表しました。ここでは関連情報をまとめます。

概要

8月13日にEmurasoftが同社のWebサイト不正アクセスを受け、情報が漏えいした可能性があることを発表しました。さらにその5日後の8月18日にEmEditorの更新チェックを行った際にマルウェア感染する可能性があったことを発表しました。尚、この記事中の日付は日本時間として記述していますが、前後している可能性もあり参考程度として下さい。

公式発表

Emurasoft Webサイト 不正アクセス関連
EmEditor 更新チェックによるマルウェア感染の可能性関連

1.Emurasoft Webサイト不正アクセスインシデント

(1) 被害状況

被害内容

(2) 発端

(3) 原因

  • Emurasoftからは発表されていない

(4) 対応

2.EmEditor 更新サイト改ざんインシデント

(1) 被害状況

  • 発生日時 2014年8月18日 22時36分〜8月19日 3時20分(日本時間)
被害内容
  • 不正アクセス元により設置されたファイル(editor.txt)をEmurasoftが削除してしまっていたことにより被害詳細については不明。
影響を受けた可能性のある対象

以下のすべての条件を満たした場合に影響を受ける可能性がある。

  • (1) 当該期間においてEmEditorを起動した。
  • (2) Emurasoftが発表している特定のIPアドレス経由でインターネットを使用していた。
  • (3) 以下のいずれかの利用者であった。
  • (4) 更新機能を次の様に設定・実行した。
    • 自動更新機能を有効にしていた。
    • 手動更新により、感染可能性のある時間帯にチェックを行った。
  • 更新チェックはEmEditorを起動しなければ実行されない。
  • インストール直後から30日間は試行版としてProfessional版が利用可能である。
  • ポータブル版で利用している場合は更新チェック機能は無効化されているため対象外と思われる。
  • Free版には自動更新機能が存在しないため対象には含まれないと思われる。
  • 自動更新は最新版が存在するかのチェックに留まり、ダウンロード、及びインストールは既定で無効にされている。

f:id:Kango:20140820085806p:image

  • どのエディションを使用しているか確認するにはヘルプからEmEditorのバージョン情報を参照する。

f:id:Kango:20140820011438p:image

更新時にマルウェアダウンロードされる可能性のあったIPアドレス
Emurasoftが公開した特定のIPアドレスのリストがどこなのか調べてみた
  • 1行あたり最大256個の範囲を示すIPアドレスのリスト

f:id:Kango:20140820011439p:image:w400

f:id:Kango:20140820125012p:image:w400

(2) 発端

(3) 原因

  • Emurasoftはどのようは方法を用いてファイルを設置したか把握できていない。

(4) 対応・対策

他組織の動き

いくつかの専門の組織、ベンダが(電話会議やメール等を通じて)動いている模様。

(5) 接続先に関する情報

EmEditor更新チェック時の接続先情報
正規のアップデート接続先URL

www.emeditor.com/pub/updates/(更新定義ファイル名)

  • 更新定義ファイル名

emed32_updates.txt

emed64_updates.txt

emed32_updates_ja.txt

emed64_updates_ja.txt

不正アクセス元により追加されたリダイレクトURL

www.emeditor.com/pub/rabe/editor.txt

(6) マルウェアに関する情報

  • 不正アクセス元が設置されたと思われるeditor.txtの中身をEmurasoftが確認できていないため、本当にマルウェアであったのか等の詳細は不明。

インシデントタイムライン

日付出来事
8月13日EmurasoftのWebサイト不正アクセスを受け、情報漏えいした可能性がある。
8月14日Emurasoftが同社Webサイト不正アクセスがあったことを発表。
8月15日Emurasoftが不正アクセスに関する続報、及びパスワードの変更を呼びかけ。
8月18日 22時36分サーバー管理会社がEmurasoftのWebサイトバックアップを取得。
この間EmEditorの更新チェックを行った際にマルウェア感染する可能性。
不正アクセス元により.htaccessや不審なファイル(editor.txt)が設置されたと推測される。
8月19日 3時20分Emurasoftが不審なファイルの設置に気付き、これらを削除。
8月19日EmurasoftがEmEditorの更新情報を格納したサーバー不正アクセスがあり、マルウェア感染する可能性があったと発表。
8月20日Emurasoftが不正アクセスの被害詳細について続報を発表
8月21日Emurasoftが更新チェッカーの機能を無効したEmEditorの最新版を公開
8月22日Emurasoftが不正アクセスの被害詳細について続報を発表
8月29日Emurasoftが同社Webサイト(emeditor.com)をSSL
10月3日EmurasoftがJPCERT/CCより受けた不正アクセスの最終調査報告を発表

謝辞

このまとめは次の方より頂いた情報を元に修正・追記を行っています。ありがとうございます!

更新履歴

  • 2014/08/20 AM 新規作成
  • 2014/08/20 AM 不正アクセス詳細の発表を受け更新
  • 2014/08/20 PM IPアドレスのリスト(@fj_twtさんからの情報)を更新、一部表現箇所の修正
  • 2014/08/20 PM 一部表現箇所の修正
  • 2014/08/21 AM 影響を受ける時間が誤っていたため修正、一部情報(IPアドレス数)を追記。
  • 2014/08/22 PM 最新の情報を反映。

*1:計算して算出したと思われる

*2「EmEditor」の更新機能でマルウェア感染のおそれ - 特定IP狙われる,Security-NEXT,2014/08/21アクセス:魚拓