CPU-Z・HWMonitor、公式サイトからマルウェア配布
PCの定番ツールが、ある日突然「凶器」に変わった。CPU-ZとHWMonitorの公式サイトが侵害され、ダウンロードがマルウェアにすり替えられていた。
PCの定番ツールが、ある日突然「凶器」に変わった。CPU-ZとHWMonitorの公式サイトが侵害され、ダウンロードがマルウェアにすり替えられていた。
公式サイトから降ってきた「偽物」
CPUIDの公式サイト(cpuid.com)が攻撃者に侵害され、HWMonitor 1.63とCPU-Z 2.19のダウンロードリンクがマルウェア入りファイルに差し替えられていた。最初に異変に気づいたのはRedditユーザーだった。
WARNING! HWMonitor 1.63 Download on the official "cpuid" page is a Virus!!!
by u/DMkiIIer in pcmasterrace
HWMonitorをバージョン1.42から1.63へ更新しようとした投稿者は、公式ページからダウンロードしたファイル名が「HWiNFO_Monitor_Setup.exe」だったと報告している。HWiNFOはまったく別の開発者による別製品だ。名前からして、何かがおかしい。
ダウンロードしたファイルをWindows Defenderが即座にウイルスとして検出。インストーラはロシア語のセットアップ画面を表示し、VirusTotalでは32以上のセキュリティベンダーがトロイの木馬として検出した。公式のダウンロードページに見えるものが、実際には攻撃者が用意したCloudflare R2ストレージへのリダイレクトだった。
CPUIDはフランスのソフトウェア企業で、CPU-Z、HWMonitor、HWMonitor PRO、PerfMonitor 2、powerMAXなどのハードウェア情報・監視ツールを開発している。CPU-Z単体で世界中に数千万人のユーザーがいるとされる。
「普通のマルウェアではない」──セキュリティ研究者の分析
セキュリティ研究グループvx-undergroundがXで侵害を確認し、分析結果を公開した。
Mr. Titus Tech is correct. cpuid-dot-com is indeed delivering malware right now.
— vx-underground (@vxunderground) April 10, 2026
As I began poking this with I stick I discovered this is not your typical run-of-the-mill malware. This malware is deeply trojanized, distributes from a compromised domain (cpuid-dot-com), performs… https://t.co/ubkXmG7LKV pic.twitter.com/jPlAMmpijN
「これは平凡なマルウェアではない」──vx-undergroundによれば、このマルウェアは多段階構成で、ほぼ全体がメモリ上で動作する。ディスクに痕跡を残さない設計だ。Windowsの正規ライブラリ「CRYPTBASE.dll」と同名の偽DLLを仕込み、そこからC2(指令)サーバに接続して追加のペイロードを引き込む。
検出回避の手口も凝っている。NTDLLの機能を.NETアセンブリ経由でプロキシし、EDR(エンドポイント検出・対応)やアンチウイルスの監視をすり抜ける。さらにPowerShellでペイロードを取得し、被害マシン上で.NETコードをコンパイルして別プロセスに注入する。何重にも回避策を重ねた構成だ。
vx-undergroundはこのマルウェアを「B-」と評価した。セキュリティ研究者が採点するほどの「完成度」を持つマルウェアが、公式サイトから配信されていたことになる。
狙いはブラウザに保存された認証情報だ。実際に、Google ChromeのIElevation COMインターフェースへアクセスし、保存済みパスワードを復号・窃取する挙動が確認されている。
6時間の空白──開発者の釈明
CPUID開発者のサミュエル・ドゥムールメステールがCybernewsに経緯を語った。
「調査は継続中だが、副次的な機能(基本的にはサイドAPI)が4月9日から10日にかけて約6時間にわたり侵害されていたようだ。メインサイトがランダムに悪意あるリンクを表示する状態になっていた。署名済みのオリジナルファイルは侵害されていない」
侵害はすでに修正されたという。だが見過ごせない点がある。攻撃者は、CPU-Z創設者のフランク・デラトルが休暇中のタイミングを狙っていた。偶然かもしれない。だが、6時間あれば数万人がダウンロードした可能性は十分にある。
CPUIDのソフトウェア本体──署名済みバイナリ──は改ざんされていないと主張しているが、問題はそこではない。ダウンロードリンクそのものがすり替わっていた以上、正規のファイルが安全であることは、リンクをクリックしたユーザーにとって何の慰めにもならない。
重要:侵害されたのはCPUIDのサイトであり、HWiNFOは無関係だ。ファイル名に「HWiNFO」が含まれていたために一部で混乱が生じたが、HWiNFOは別の開発者による別製品で、一切影響を受けていない。
3月のFileZilla攻撃との連続性
vx-undergroundの分析は、もうひとつ不穏な事実を指摘している。C2ドメインの分析から、今回の攻撃は2026年3月にFileZillaを標的にした攻撃と同一のグループによるものだとされている。攻撃インフラ(supp0v3[.]com)も共通だ。
MalwareBytesが3月に報告したFileZillaの偽装キャンペーンでは、正規のプロジェクトサイトではなく巧妙に似せた偽ドメインからトロイの木馬化されたインストーラが配布されていた。今回はさらに一歩進んで、偽ドメインではなく公式サイトのインフラそのものが侵害された。同じ脅威アクターが人気フリーツールを連続して狙っている構図だ。
このグループは「忙しい」とvx-undergroundは皮肉を込めている。人気のあるフリーツールの配布経路を順番に狙い撃ちにする、サプライチェーン攻撃のパターンが形成されつつある。
今すぐ確認すべきこと
4月上旬以降にCPU-ZまたはHWMonitorをダウンロードした人、あるいはアプリ内からアップデートした人は、すぐに行動すべきだ。
ただちにフルスキャンを実行すること。アプリケーションディレクトリ内に「cryptbase.dll」が存在しないか確認する。侵害の痕跡がある場合、ブラウザに保存したパスワードやクレジットカード情報は漏洩した前提で、主要アカウントの認証情報を変更し、多要素認証を有効にすべきだ。
CPUIDは問題を修正し、現在はクリーンなバージョンを提供していると主張している。だが侵害の全容はまだ明らかになっていない。しばらくはcpuid.comからのダウンロードに慎重になるべきだろう。
「信頼できるツール」という思い込みこそが、サプライチェーン攻撃の最大の武器だ。次に狙われるのがどのツールなのか、それは誰にもわからない。
参照元
他参照
関連記事
- Windows 11/10のロック画面時計、最大30秒の遅れはMicrosoftが「仕様」と明言
- VeraCrypt・WireGuard、MSがアカウント停止
- Windowsゼロデイ「BlueHammer」流出、MSRCへの怒りが引き金
- KB5086672がインストールできない不具合と対処法
- Axiosを侵した「偽の会議」――北朝鮮ハッカーの手口
- Windows 11、24H2ユーザーに25H2への強制アップデートを開始
- Teamsの「外部デバイス連携」が6月末で完全終了――影響範囲は想像以上に広い
- Claude Codeソース流出が招いた罠:偽リポジトリがマルウェアを配布
- Windowsセキュリティに「セキュアブート」警告が表示される理由と、6月の期限前に知っておくべきこと
- イランのサイバー部隊がStrykerを壊滅させた手口と、FBIが学んだ教訓
