〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う
– 12/25号 目次 –
01.「EmEditor」公式サイトで一時偽インストーラーがダウンロードされる状態に
02.「至急LINEグループ作成、QRコード送信を」なりすましメール報告多数、IPA注意喚起
03. 11月度フィッシング報告件数は197,228件
「EmEditor」公式サイトで一時偽インストーラーがダウンロードされる状態に
– 12月23日(日本時間)、国産テキストエディタ―「EmEditor」開発元のEmurasoft社より、EmEditor公式サイトの「今すぐダウンロード」ボタンから偽のインストーラーがダウンロードされる状態になっていたとして注意喚起が出されています。
– 12月20日 11:39~23日 5:50の間、当該ボタンからのリンク先が改変され、最新バージョン25.4.3のインストーラーとして同社のデジタル署名と異なる署名を持つ不審なファイル(ファイル名は正規のものと同じ「emed64_25.4.3.msi」)にリダイレクトしていたとしています。
– 偽のインストーラーは実行時にEmEditor自体は正規のものをインストールする一方で、外部の不審なサーバーからファイルをダウンロードする挙動になっていたとのことです。
AUSからの所感
バージョン25.4.3の正規インストーラーは「サイズ:80,376,832バイト」「デジタル署名: Emurasoft, Inc.」「SHA-256ハッシュ:e5f9c1e9b586b59712cefa834b67f829ccbed183c6855040e6d42f0c0c3fcb3e」で、偽のインストーラーは前述した署名の他これらの情報も異なるとされます。
先日は別のテキストエディター「Notepad++」の自動更新機能でインストーラーの検証に不備があったことが報告されています(AUS便り 2025/12/18号参照)が、もしもEmEditorの自動更新機能において同様の不備があり、その状態で偽のインストーラーを掴まされていた場合、悪意のあるバージョンのインストール等に繋がっていた恐れもあります。
詳細は不明のためあくまで推測ですが、前述したボタンのリンク先改変の他、偽のインストーラーファイル自体がEmEditor公式サイトのサーバー上に置かれていることから、サイトで使用されているWordPressにログイン、プラグインの不正なインストールを経て、ファイルアップロードが行われた可能性が考えられ、ソフトウェア(あるいは文書ファイル等でも)を配布する側においてはWebサーバー自体やWebサイトで使用しているCMS(コンテンツ管理システム)へ不正にログインされないよう防御を固めること、またクライアントPC側も不正なインストーラーの実行の遮断のみならず、アップロードするファイルが改ざんされる等のいわゆる「サプライチェーン攻撃」に対し、アンチウイルス・UTM等により防衛することが肝要です。
「至急LINEグループ作成、QRコード送信を」なりすましメール報告多数、IPA注意喚起
– 12月22日(日本時間)、IPA情報セキュリティ安心相談窓口のXアカウントより、「LINEグループを作成してQRコードを返信してください」というメールが送られてきたとする相談が複数寄せられているとして注意喚起が出されています。
– 件名に国内企業の社名を記載、発信元として同社のCEOを騙り、「業務調整に関する指示」「業務上の必要により、至急、会社用のLINEグループを新規作成してください」といった文面の例が挙げられています。
– IPAではこの手口で作成されたLINEグループの悪用で詐欺被害に繋がる恐れがあるとして注意を呼び掛けています。
– IPAに先立って、なりすましに悪用されたとみられる複数の企業からも12月中旬ごろから各社とは無関係とする注意喚起が出ている他、海外のセキュリティ企業からも警告が出ているとされています。
https://x.com/IPA_anshin/status/2002941037422203120
https://smbiz.asahi.com/article/16248205
https://otakuma.net/archives/2025121908.html
https://c.sanyonews.jp/release/2025/12/20251216151025.html
AUSからの所感
メールは「@outlook.com」等フリーメールからの発信とされ、またIPAが例示した以外にも複数の文面が確認されていますが、業務上の名目として相手を急がせるような内容で、またメンバーは発信元側で追加するため、作成後他のメンバーを招待していない状態でQRコードを返信するよう指示する点が共通しています。
とにかくこのような手口が出回っていることを情報収集ないし組織内で周知し、決して従わないことが重要であり、またメール・LINE・Slack等での指示・依頼の内容に万一セキュリティ面での疑義があるといった場合は適宜別の手段で連絡して確認することも考慮すべきです。
11月度フィッシング報告件数は197,228件
12月18日(日本時間)、フィッシング対策協議会より、11月に寄せられたフィッシング報告状況が発表されました。
11月度の報告件数は197,228件で、10月度(https://www.antiphishing.jp/report/monthly/202510.html )の225,796件から28,568件減少しています。
悪用されたブランド件数は106件で10月度(115件)から9件減少、割合が多かったものとしてAmazon(約15.1%)、Apple(約5.1%)が挙げ
られ、次いで報告されたANA、VISA、ETC利用照会サービスと合わせて約31.5%、さらに1,000件以上報告された41ブランドまで含めると約93.2%を占めたとのことです。
フィッシングサイトのURL件数は52,917件で10月度(48,533件)から4,384件増加、使用されるTLD(トップレベルドメイン名)の割合は
上位に .cn(約51.9%)、 .com(約20.6%)、次いで10,000件以上の報告があった .top(約7.8%)と併せて約80.2%を占めています(この他1,000件以上報告があったTLDとして .cfd、.net、.shop、.store、.mobi、.asiaが挙げられています)。
AUSからの所感
同協議会の調査用メールアドレスに届いたフィッシングメールの送信元IPアドレスについて、国別の割合はCN約77.9%、US約10.1%、SG約8.0%、VN約2.0%となり、またPTRレコード(IPアドレスからの逆引き)が設定されていないアドレスが全体の約91.7%を占めている一方、約7.3%(設定されているもののうちでは約86.9%)が、末尾に「bc.googleusercontent. com」が付く、即ちGoogle Cloud サービスが送信元であるとしています。
他にも日本データ通信協会の迷惑メール相談センターには日々20件以上のフィッシングメールが掲載されており(https://www.dekyo.or.jp/soudan/contents/news/alert.html )、利用しているサービスについて不審なメールを受信した際はこういった情報等と文言が一致するか確認するとともに、本物のサービスのサイトへは事前に登録したブラウザーのブックマークやスマホアプリからアクセスする等、慎重に行動することを日々心掛けましょう。
