JDownloaderは、Javaで書かれたダウンロードマネージャです。
JDownloaderは通常のファイルをダウンロードできるだけでなく、MEGA.nzなどのオンラインファイルホスティングサービスからのファイルもダウンロードできます。
複数ファイルや大量のURLをまとめて登録し順次処理できる一括ダウンロードや、YouTubeなどの動画リンクから音声のみまたは動画を簡単に保存できる動画や音楽の抽出機能があることから、人気のソフトウェアです。
Javaで実装されていることもあり、Windows、Mac、Linuxに対応しています。
このJDownloaderの公式サイトが侵害される事態が発生していました。
- 公式Webサイトへの管理アクセスの開放
通常は公式Webサイトはアクセス制御が設定されていて誰でも管理アクセスできるものではありません。
しかし2026年5月6日の時点では、公式Webサイトで利用されている仕組みに脆弱性がある状態となっていて、認証なしにWebサイトのアクセス制御リストやコンテンツを変更される事件が発生しました。 - ダウンロードリンクの書き換え
侵害されたのはJDownloaderの公式サイトです。
侵害によって公開されているリンクは書き換えられてしまいました。
今回書き換えられたのは、Windows用インストーラーの代替ダウンロードリンクとLinuxシェルインストーラーのリンクでした。
アプリ内アップデート、macOS用ダウンロード、Flatpak、Winget、Snapパッケージ、JDownloaderのメインJARパッケージ、については、今回の事例では変更されていませんでした。 - ダウンロードされるものはマルウェア
公式の一部のソフトウェア入手のためのリンクをクリックしてダウンロードされたファイルは、マルウェアでした。
Windows版インストーラーとしてダウンロードされたものは、Pythonベースのリモートアクセス型トロイの木馬を仕掛けるペイロードでした。
ダウンロードした環境によっては、環境にあるアンチウイルスの機構がウイルスであると判定できる場合もあります。
2026年5月8日時点でサイトの問題は解消されています。
2026年5月6日から2026年5月8日の間に侵害されたリンクからJDownloaderを入手した人は、それを実行しないでください。
実行してしまっている場合は侵害が成り立ってしまっている可能性がありますので、デバイスのクリーニングを実施し、念のため各種パスワードのローテーションを実行しておきましょう。
今回、JDownloaderの公式サイトの侵害という事象からマルウェア配布という事件に発展しました。
JDownloaderの公式サイトは侵害されたのですが、侵害範囲としてはWebコンテンツマネジメントシステムのみでした。
Webサーバを構成しているOSが侵害されたのではありませんでしたし、OSにアクセスできるようになってしまったわけでもありませんでした。
しかし、一部だけでも侵害されてしまったことにより、大きな問題へと発展してしまいました。
日々の活動は重要です。
システムの提供者側としては、ひとつでも問題がある状態にある場合、なんらかの侵害に遭遇する可能性が生じます。
丁寧に更新運用を継続していく必要がありますね。
システムの利用者側も安心できません。
なにかを入手する際、入手元が公式だからといって手放しで安心できるわけではありません。
システムの提供者側、システムの利用者側、どちらの立場も日々注意して進めていく必要があるということですね。
Website installer incident — May 2026
https://jdownloader.org/incident_8.5.2026.html?v=20260508277000
| この記事をシェア |
|
|---|
