9月12日から15日に開催された「TECH+ EXPO for セキュリティ2023」のDay 3「外部公開システムの安全運用」に、Emurasoft Presidentの江村豊氏が登壇。事故対応アワード受賞事例講演として、2014年8月にEmEditorで発生したセキュリティインシデントの内容および発見の経緯、セキュリティインシデント後に講じた具体的な対処方法や得られた教訓などについて語った。

「TECH+ EXPO for セキュリティ 2023」その他の講演レポートはこちら

インシデントに気付いたきっかけは2個の謎のファイル

Emurasoftは、Windows専用テキストエディタ「EmEditor(エムエディター)」の開発・販売などを手掛けているソフトウエア制作会社だ。EmEditorは1997年より開発が続けられており、数ギガバイト級の巨大ファイルでも、オープン/編集/保存/検索/置換/並べ替えなどを高速に実行できる。またCSVエディタとしても使用でき、Excelよりも高速な操作を実現。さらに、コードエディタとして使える便利な機能も備えている。

EmEditorのソフトウエア更新機能は当時、起動時に動作する更新チェッカーがサーバから更新定義ファイルを読み込み、新バージョンが確認された場合はURL指定でインストーラー用の別サーバからダウンロード&インストールを行う仕組みとなっていた。しかし、ここにセキュリティ上の大きな落とし穴が潜んでいたのだ。

  • EmEditorのソフトウエアの更新機能の仕組み

「インシデントに気付いたきっかけは、2個の謎のファイルでした」と江村氏は振り返る。EmurasoftではWebサイトに「WordPress」を利用しており、セキュリティ用プラグインの設定で、新しいファイルが見つかると1日1回の頻度でファイル一覧が送られてくる。2014年8月19日に同氏は、そこに見覚えのない2個のファイル名を発見したそうだ。

1つ目は「editor.txt」というファイルで、誤って削除してしまったため詳細は不明である。2つ目の「.htaccess」には、指定したIPアドレスからサーバにアクセスした際、本来の更新定義ファイルではなく、強制的に「editor.txt」を読み込む命令が記載されていた。つまり、EmEditorのソフトウエア更新時、「editor.txt」に記載されたURLを踏ませることで、悪意ある第三者が用意したファイルをダウンロード&インストールさせられていた可能性があったのだ。その期間は、正常にバックアップが行われていた2014年8月18日 22:36から、江村氏が謎のファイルに気が付いた8月19日 3:20までの数時間だった。

この記事は
Members+会員の方のみ御覧いただけます

ログイン/無料会員登録

会員サービスの詳細はこちら