2026年4月、PCハードウェア情報ツールとして広く利用される「CPU-Z」および「HWMonitor」の配布元であるCPUIDの公式サイトがハッキングされ、ダウンロードファイルにマルウェアが混入した可能性が報じられた。CPU温度やクロック確認といった“無害に見えるユーティリティ”は、ユーザーが警戒心を下げやすく、さらに管理者権限で動作させがちな点から、攻撃者にとって格好の侵入口になり得る。本件は、サプライチェーン攻撃(正規の配布経路を汚染して利用者に感染させる手口)の典型例であり、個人・企業を問わず実務的な対策が求められる。
何が起きたのか:公式配布の“正規ファイル”がリスクになる
報道によれば、CPUID公式サイトが侵害され、CPU-ZおよびHWMonitorのダウンロードファイルにステルス性の高いマルウェアが混入したという。ポイントは、フィッシングサイトや偽インストーラーではなく「公式サイトの配布物」が攻撃経路になり得る点だ。利用者側から見ると、ブックマークしている公式サイトから入手し、普段通りにインストールしただけで感染が成立する可能性がある。
この種の事件では、攻撃者は改ざんを短期間に留め、検知や話題化の前に最大限拡散させる戦術を取りがちだ。また、対象を限定して配布ファイルや配信地域を出し分けるケースもあるため、「自分の環境では異常がない=安全」とは言い切れない。
なぜCPU-ZやHWMonitorが狙われるのか
高い普及率と“入れても不自然じゃない”立ち位置
CPU-ZやHWMonitorは自作PC、ゲーミングPC、業務PCの検証など幅広く使われる。セキュリティ製品の導入が厳格でない個人環境はもちろん、検証端末や一時利用端末など統制が弱い環境にも入り込みやすい。
管理者権限・ドライバ・低レベル情報へのアクセス
ハードウェア監視系ツールは、センサー情報取得やドライバ連携のために高い権限が必要になることがある。攻撃者にとっては、初期侵入後の権限昇格や持続化、情報窃取の足がかりとして価値が高い。
更新頻度と“つい上書きインストールする”行動
ベンチマークや監視ツールは最新版を追うユーザーが多く、更新のたびに実行ファイルが差し替わる。ここに改ざんが紛れ込むと、ユーザー行動がそのまま感染拡大のドライバーになる。
想定されるリスク:ステルス型マルウェアが意味するもの
「ステルス性が高い」とされるマルウェアは、単に検知を回避するだけでなく、行動を最小化して監視ログに残りにくくする、正規プロセスへインジェクションする、正規通信に擬態するなどの特徴を持つことがある。結果として、感染に気づけないまま以下の被害に繋がり得る。
認証情報(ブラウザ保存パスワード、セッショントークン、VPN/クラウド資格情報など)の窃取
RAT(遠隔操作)化による横展開、追加ペイロードの投入
暗号資産やゲームアカウント、広告アカウント等の乗っ取り
企業環境ではEDR回避を前提にした侵害の長期化(潜伏)
特に企業では、開発・検証用PCに導入したツールから社内ネットワークへ展開されると、最終的にランサムウェア被害へ至るシナリオも現実的だ。
個人ユーザーが今すぐできる確認と初動
インストーラーの入手元と時期の確認
まず、いつ・どこから入手したかを整理する。公式サイトから落とした場合でも、改ざんが起きた期間に該当すれば影響を受ける可能性がある。ダウンロード履歴、ブラウザ履歴、ファイルの作成日時、インストール日時を確認しよう。
デジタル署名の確認(可能なら)
Windowsであれば、実行ファイルのプロパティから「デジタル署名」を確認できる場合がある。ただし、署名がある=絶対安全ではない(署名付きでも悪用される事例はある)一方、署名が不自然・欠落している場合は強い警戒材料になる。
フルスキャンと追加のオンデマンド検査
常駐AV/EDRのフルスキャンに加え、信頼できるオンデマンドスキャナでの追加検査を推奨する。ステルス型は単一製品の検知をすり抜けることがあるため、多層で確認する価値がある。
重要アカウントのパスワード変更とセッション破棄
感染可能性が否定できない場合、メール、クラウド、SNS、ゲーム、金融関連など重要アカウントのパスワード変更を優先し、可能であれば全端末のログアウト(セッション破棄)を行う。2要素認証(MFA)を未設定なら、これを機に必ず有効化したい。
企業・組織で取るべき実務対策
「正規ツール」もアプリ許可制・配布管理の対象にする
ユーティリティ類を野放しにすると、今回のような配布元侵害に弱い。アプリケーション制御(許可リスト、コード署名ベースの許可、配布管理)を行い、利用部門の申請・承認を経てインストールさせる運用が重要だ。
ハッシュ検証とミラー配布の活用
ベンダーが提供するハッシュ値(SHA-256等)を検証する運用を整える。加えて、社内で検証済みのインストーラーを保管し、端末には社内リポジトリから配布することで、インターネット上の配布物改ざんの影響を減らせる。
EDRで「珍しい親子プロセス」「永続化」「資格情報アクセス」を監視
ハードウェア監視ツール自体の起動は正常でも、その後の挙動で差が出る。たとえば、ユーティリティがPowerShellやcmd、rundll32などを不自然に起動する、スケジュールタスクやレジストリRunキーへ書き込む、LSASSへのアクセス兆候がある、といった観測点をルール化し、検知・隔離までの手順を事前に整備する。
インシデント対応:影響範囲特定→隔離→再イメージも選択肢
ステルス型で確証が得にくい場合、「クリーンであることを証明できない」状態が続く。業務重要端末や管理者端末では、調査結果次第で再イメージ(OS再展開)を前提に動く方が、結果的に被害抑止と復旧の総コストを下げることがある。
今回の事件が示す教訓:サプライチェーン対策は“例外なく”必要
サプライチェーン攻撃は、巧妙なフィッシングよりも「ユーザーの防御行動をすり抜けやすい」。なぜなら、ユーザーが普段から信頼しているブランド、慣れた導入手順、正規の配布経路を利用してしまうからだ。したがって対策の要点は、信頼を前提にしない検証(署名・ハッシュ・配布管理)と、侵害を前提にした監視(EDRの行動検知、権限分離、横展開の抑止)の両輪にある。
CPU-ZやHWMonitorに限らず、「便利ツール」「周辺機器ユーティリティ」「ドライバ更新ツール」は今後も狙われる。導入経路の統制と、異常時に素早く切り離して復旧できる体制を、平時から整えておきたい。
参照リンク:
CPUID の公式サイトがハッキングされ、CPU-Z および HWMonitor のダウンロードファイルにステルス性の高いマルウェアが混入(biggo.jp / Googleニュース)