概要
人気のCPU情報ツール「CPU-Z」およびハードウェア監視ツール「HWMonitor」を開発するCPUIDが、2026年4月9日から10日にかけてサイバー攻撃を受けた。攻撃者は同社のバックエンドAPIを侵害し、公式ウェブサイトのダウンロードリンクをマルウェア入りインストーラーに差し替えた。この状態が約6時間続いたため、正規ソフトウェアを入手しようとしたユーザーが資格情報窃取型マルウェアをダウンロードするリスクに晒された。CPUIDは「メインAPIとは別のサイドAPIが侵害され、ウェブサイトが無作為に悪意あるリンクを表示する状態になった」と説明している。なお、侵害の発覚後はクリーンなインストーラーへの切り替えが完了しており、正規の署名済みファイル自体は汚染されていなかったとされている。
マルウェアの技術的な詳細
配布された悪意あるファイルは「HWiNFO_Monitor_Setup」というファイル名を持ち、セキュリティ製品からはTedy TrojanまたはArtemis Trojanとして検出される。VirusTotalでは20以上のアンチウイルスエンジンによってフラグが立てられた。
このマルウェアはセキュリティ回避に高度な技術を駆使している。偽のCRYPTBASE.dllを用いて正規のWindowsコンポーネントに成りすますほか、PowerShellを利用してほぼ完全にメモリ上で動作するファイルレス型の手法をとる。さらに、.NETアセンブリからNTDLL関数をプロキシ化することでEDRやアンチウイルスの検出を回避する。セキュリティ研究グループvxundergroundは「多段階構成で、侵害されたドメインから配布され、ファイル偽装を行い、ほぼ完全にメモリ内で動作する、非常に高度にトロイ化されたマルウェアだ」と評している。最終的なペイロードはGoogle ChromeのIElevation COMインターフェースを悪用してブラウザに保存された認証情報を復号・窃取する機能を持っており、ユーザーのアカウント情報が広範に危険にさらされた可能性がある。
FileZilla攻撃との関連と背景
セキュリティ研究者たちは、今回の攻撃に使われたインフラが2026年3月に発生したFileZillaを標的としたサプライチェーン攻撃と同じ脅威アクターによるものであることを特定した。広く利用されているユーティリティソフトウェアの公式配布ルートを乗っ取ることで、多数のユーザーに一度にマルウェアを届けるという手口が繰り返されており、組織的なキャンペーンの一環とみられている。CPUIDのスポークスマンは、主要開発者が休暇中の時期を狙われたと言及しており、攻撃者が組織の対応能力が低下するタイミングを意図的に選んだ可能性も示唆されている。
ユーザーへの推奨事項
2026年4月9日から10日の間にCPUIDの公式サイトからCPU-ZまたはHWMonitorをダウンロードしたユーザーは、インストーラーのハッシュ値を公式の既知正常値と照合し、マルウェアに感染していないか確認することが強く推奨される。感染が疑われる場合は、ブラウザに保存しているパスワードをすべて変更し、各種アカウントの不審なアクティビティを確認すべきだ。今回の事案は、人気ツールであっても公式サイトからのダウンロードが常に安全とは限らないことを改めて示しており、ダウンロード後のファイルの整合性確認の重要性が浮き彫りになった。