「公式サイトからダウンロードすれば安全」って思ってますよね。私もそう思ってました。
でも、今回のニュースを見て、「絶対に安全」なんてないんだな、と改めて感じました。

こんにちは、こんばんは。TechAtlas(てっくあとらす)です。

今回は、テキストエディタ「EmEditor」の公式サイトが改ざんされ、マルウェアが配布されてしまった事件について、中小企業で1人で情シスを担当している私たちが考えておきたいことを整理してみます。

• 参考記事
• 記事の概要
• この記事から考えたいこと
  • なぜこの確認が大事なのか
  • まず何を確認すればいいのか
    • 1. 自社サイトの管理状況
    • 2. WordPressの更新状況
    • 3. FTP/SFTPのアカウント管理
  • 今日からできること
• まとめ

---

参考記事

• 「攻撃者の高い執念が感じられ」る 日本語版 EmEditor Web サイトのリンク改変
• EmEditor「公式サイトからダウンロードしたお客様が被害に遭われた点に重い責任を感じて」いる

※以下は上記記事を読んだ上での個人的な考察です。

---

記事の概要

今回のニュースは、テキストエディタソフト「EmEditor」の公式サイトがハッキングされ、ダウンロードリンクが改ざんされてマルウェアが配布されてしまった、というものです。

最初の事件は2025年12月20日から23日の間、2回目は12月31日から2026年1月2日の間に発生しました。

何が怖いかというと、「公式サイトからダウンロードした」のに被害に遭う可能性があった、という点です。

攻撃者は公式サイトのダウンロードボタンを改ざんして、別のサーバーに置かれたマルウェア入りファイルをダウンロードさせるようにしていました。

EmEditor社は「公式サイトからダウンロードしたお客様が被害に遭われた点に重い責任を感じて」いると表明し、WordPressから静的サイトへの移行など、抜本的な対策を実施しています。

正直、「大手ソフトウェア会社の話だから、うちには関係ない」と思いたいところです。

でも、うちの会社のWebサイトも似たような構成（WordPressで構築）だったりしませんか？

この記事から考えたいこと

この事件から、いろいろな対策が考えられるんですが、今日はこの1点について考えたいと思います。

それは「自社で公開しているWebサイトの現状確認」です。

なぜこの確認が大事なのか

EmEditor社の事件では、WordPressの脆弱性やSFTPアカウントの侵害が原因の可能性として挙げられています。

実は、中小企業のWebサイトでも同じような状況は結構あるんです。

自社を思い浮かべてみると、こんな状況ではないでしょうか？

• 数年前に外部の制作会社に作ってもらったWordPressのサイト
• 更新作業は自分でやっているけど、システム部分はよくわからない
• WordPressのバージョンやプラグインの更新、してない…かも
• FTPやSFTPのパスワード、何年も変えてない

「うちは小さい会社だから狙われない」と思いがちですが、攻撃者は自動化ツールで脆弱性のあるサイトを片っ端から探しています。

会社の規模は関係ありません。

まず何を確認すればいいのか

具体的には、以下の3点を確認してみましょう。

1. 自社サイトの管理状況

• そもそも、誰が管理しているのか（外部委託？自社？）
• 管理画面にログインするIDとパスワードは誰が知っているのか
• 最後にログインしたのはいつか

「そういえば、前任者が作ったサイト、誰が管理してるんだろう…」という状態なら要注意です。

2. WordPressの更新状況

WordPressを使っている場合： - WordPress本体のバージョンは最新か - プラグインは最新版に更新されているか - 使っていないプラグインが残っていないか

管理画面にログインすれば、ダッシュボードで「○件の更新が利用可能です」と表示されるはずです。

もし何年も更新していない場合、脆弱性が残っている可能性があります。

3. FTP/SFTPのアカウント管理

• 現在有効なアカウントは何個あるのか
• 退職した人のアカウントが残っていないか
• パスワードは複雑で、定期的に変更しているか

これは制作会社やサーバー会社に問い合わせて確認する必要があるかもしれません。

今日からできること

この3点の確認、実は今日の午後からでもできます。
予算もかかりません。
まずは「現状を知る」ことから始めましょう。
もし「わからない」「アクセスできない」という状態なら、それ自体がリスクです。
制作会社やサーバー会社に連絡して、管理状況を教えてもらうところから始めてください。

まとめ

今回のポイントをまとめます。

• EmEditorの公式サイトが改ざんされ、マルウェアが配布される事件が発生
• 「公式サイトからのダウンロード」でも安全とは限らない
• 中小企業のWebサイトも同じリスクがある
• まずは自社サイトの管理状況・更新状況・アカウント管理を確認しよう
• 予算ゼロ・今日からできる対策

1人で情シスをやっていると、「うちは小さいから大丈夫」と思いたくなります。
でも、攻撃者はそんなこと考えません。脆弱性があれば、規模に関係なく狙ってきます。

全部を完璧にやろうとしなくて大丈夫です。
まずは今日紹介した3点の確認から、できることを一つずつ進めていきましょう。
また気になるニュースがあったら、考察記事を書きたいと思います。

---

TechAtlas(てっくあとらす) 元・中小企業ITインフラ支援部門責任者 | 9,000社以上の IT環境を支援してきた経験をもとに、IT初心者に寄り添う情報を発信中

ブログ: 中小企業IT担当者のスタートガイド