ハードウェアのスペック確認やシステム監視に欠かせないツールとして、エンジニアやPC愛好家から長年支持されてきた「CPU-Z」「HWMonitor」。その開発元であるCPUID(フランスのソフトウェア会社)の公式サイトが一時的に侵害され、悪意ある実行ファイルが配布されていたことが明らかになった。4月9日から10日にかけて約6時間にわたって発生したこの事件は、「公式サイトからダウンロードすれば安全」という前提が成立しない時代を改めて突きつけるものだ。

何が起きたのか

攻撃者はCPUIDが利用していたサイドAPIに不正アクセスし、CPU-ZおよびHWMonitorのダウンロードリンクをCloudflare R2ストレージ上にホストされた悪意あるファイルへとすり替えた。ダウンロードされた偽ファイルは「HWiNFO_Monitor_Setup」という名前で、実行するとロシア語インターフェースのInno Setupラッパーが起動する仕組みになっていた。

注目すべきはそのマルウェアの高度さだ。マルウェア研究者vxundergroundの分析によると、このマルウェアは以下の特徴を持つ。

  • 多段階(マルチステージ)構造:一度の実行で完結せず、段階的に悪意ある処理を展開する
  • メモリ内動作中心:ディスクへの書き込みを最小限に抑え、フォレンジック調査を困難にする
  • .NETアセンブリ経由のNTDLLプロキシ:カーネルAPIの呼び出しを迂回することでEDR(エンドポイント検出・対応)やウイルス対策ソフトの検知を回避
  • 情報窃取型マルウェア(インフォスティーラー)の疑い

VirusTotalでは20のエンジンがこのZIPを検知しているが、明確な識別はできていない。「Tedy Trojan」「Artemis Trojan」と分類するエンジンが混在しており、新種または亜種である可能性を示唆している。

また、同じ脅威グループが先月にはFTP定番ツールのFileZillaユーザーを標的にしていたという報告もある。「広く使われているユーティリティ」を狙うパターンが見え隠れしており、組織的な活動の可能性がある。

なぜこれが重要か

この事件が示す本質的なリスクはサプライチェーン攻撃の巧妙さだ。

通常のマルウェア配布と異なり、今回の手口は「公式サイトのURLを踏んだ」「ブラウザのアドレスバーにはcpuid.comと表示されていた」という状況でも被害を受けるというものだ。ダウンロード先URLが動的に書き換えられているため、URLだけを確認する行為には意味がない。

日本のIT現場でも、社内PCのスペック確認やサーバーのハードウェア診断にCPU-ZやHWMonitorを利用しているケースは少なくない。特にIT管理者が展開用にあらかじめダウンロードしたインストーラを社内サーバーに置いている運用では、今回のように「オリジナルのバイナリは無事」であっても侵害されたリンク経由でダウンロードしていれば被害を受けた可能性がある。

実務での活用ポイント

今すぐ確認すべきこと:

4月9日〜10日の間にCPUID製ツールをダウンロードした場合は即座に調査を。ダウンロードしたファイルのハッシュ値を公式が提供する正規のものと突き合わせる。VirusTotalにアップロードして確認するのも有効だ。

ダウンロードインストーラのハッシュ検証を日常化する。公式サイトがSHA-256ハッシュを公開していれば、Get-FileHash(PowerShell)やsha256sum(Linux/Mac)で必ず確認する習慣をつけたい。

エンドポイントのEDR/AV検知ログを遡及確認する。メモリ内動作中心のマルウェアはディスク上の痕跡が薄い。「何かおかしな挙動があったが気づかなかった」ケースがある可能性を念頭に置く。

ソフトウェア配布を社内で一元管理する。Microsoft Intune等を用いてアプリ配布を管理しているならば、「個人が勝手にダウンロードして実行する」行為を制限する構成の有効性を改めて見直すべきだ。禁止一辺倒ではなく、社内承認済みのパッケージ配布基盤を整えることが現実解になる。

筆者の見解

セキュリティの話題は苦手な分野なのだが(細かい話が多すぎるから)、今回の件は技術的な観点から非常に興味深い。

サプライチェーン攻撃は、「正規ルートを通ったから安全」という人間の心理的盲点を正面から突いてくる。今回のCPUID侵害は約6時間で修正されたが、その6時間の間に何人がダウンロードしたかは誰にもわからない。しかも攻撃者の主開発者が休暇中のタイミングを狙ったという点に、組織の隙間を研究していることが透けて見える。

「今動いているから大丈夫」は通用しない——これはSID重複の問題でも繰り返し言ってきた話だが、サプライチェーン攻撃においてはより深刻だ。侵害された入口が「信頼していた場所」なのだから、検知が遅れるのは当然の帰結になってしまう。

ゼロトラストの文脈で言えば、「ダウンロード元のドメインを信頼する」という前提自体を捨てる必要がある。ダウンロードしたファイルのハッシュ検証、EDRによる実行時の振る舞い監視、そして最小権限の原則——これらはこうした高度な攻撃に対して今も有効な3層の防壁だ。

無名のツールではなく、長年多くのエンジニアが使ってきた「信頼されたツール」が標的になったという事実は、改めてすべてのダウンロード行為への注意喚起として受け取ってほしい。

出典: この記事は CPUID hacked to deliver malware via CPU-Z, HWMonitor downloads の内容をもとに、筆者の見解を加えて独自に執筆したものです。