定番ツールの裏切り!CPU-Z公式サイトが侵害
Windowsユーザーなら誰もがお世話になっているであろう、PCのスペック確認ツール「CPU-Z」や「HWMonitor」。その公式サイト「CPUID.com」が攻撃者に侵害され、一時的にマルウェアが配布されていたという、耳を疑うような事件が2026年4月10日に発生した。自作PCファンやゲーマーの間で長年「定番中の定番」として信頼されてきたツールが、あろうことかウイルス配布の窓口になっていたのだ。
事件の発端は、HWMonitorをダウンロードしたユーザーからの「届いたファイル名が明らかにおかしい」という通報だった。本来HWMonitorであるはずのファイル名が、全く別の競合ソフトの名前に偽装されていたという。この異変から、公式サイトの深刻な侵害が明るみに出た。
わずか6時間の空白…巧妙にすり替えられたダウンロードリンク
分析によると、侵害が発生したのは4月9日から10日にかけての約6時間。攻撃者は公式サイトのAPIを乗っ取り、メインサイトのダウンロードリンクをランダムに悪意あるURLへ差し替えていたという。ダウンロードページの見た目は正常だったため、普通にボタンを押したユーザーは、公式サイトから正規のファイルを受け取っているつもりで、攻撃者が用意したマルウェアを掴まされていたのだ。
この攻撃は、創設者が休暇中で対応が遅れるタイミングを狙った周到なものだった。修正は完了しており、現在はクリーンなファイルに戻っているとされるが、その「空白の6時間」にダウンロードしてしまったユーザーは、すでに牙を剥くマルウェアをPCに招き入れている可能性がある。
狙いは「ブラウザのパスワード」…高度な隠蔽工作
今回配布されたマルウェアは、決して平凡なものではなかった。多段階構成で、ほぼすべての動作がメモリ上で行われ、ディスクにほとんど痕跡を残さない「ディスクレス」な設計となっていた。セキュリティベンダー30社以上がトロイの木馬として検出し、研究者がその完成度に驚くほどの内容だったという。
その真の目的は、Google Chromeなどのブラウザに保存された「パスワード」や「クレジットカード情報」の窃取だ。正規のアプリを装いながら、裏側であなたのネットバンキングやSNSの認証情報を丸裸にしようとしていたのだ。感染が確認された場合、単にソフトを削除するだけでは不十分で、主要なアカウントすべてのパスワード変更が必要になるという深刻な事態となっている。
「公式だから安全」という前提が崩れ去る時代へ
さらに恐ろしいことに、今回の犯行グループは、過去に「FileZilla」や「7-Zip」の偽サイトを使って同様の攻撃を行っていたグループと同一であることが判明している。これまでは「偽サイトに騙されない」ことが対策の基本だったが、今回は「公式サイトそのものが破られた」ことで、ユーザー側の警戒心を完全に無効化してしまった。
フリーツールの配布インフラそのものを狙い撃ちにするサプライチェーン攻撃は、今後さらにエスカレートするだろう。もはや「公式だから」と100%信頼することはできない。ハッシュ値の確認や、アップデート直後のダウンロードを避けるなど、自衛のあり方を根本から見直す時期に来ているのかもしれない。
今すぐ確認を!被害を最小限に抑えるためのチェックリスト
4月上旬にCPU-ZやHWMonitorをダウンロード、またはアプリ内のアップデート機能を使った人は、今すぐ以下の点を確認してほしい。
- ファイル名の確認:ダウンロードしたファイルが「ハードウェアinfoモニター..Exe」のような不自然な名前になっていなかったか。
- インストールフォルダのチェック:フォルダ内に「clipbase.dl」という不審なファイルがないか。
- OSのフルスキャン:Windows Defenderや最新のアンチウイルスソフトでフルスキャンを実行すること。
もし一つでも心当たりがある場合は、すでに情報が漏洩した前提で動くべきだ。別の安全な端末から、主要なパスワードの変更と多要素認証(2FA)の有効化を最優先で行うことを強く推奨する。
ネットの反応
公式からとかもう詰みじゃん。新規配布は数週間様子見するしかないね。
この話、突き詰めると「中央集権の配布モデルが限界に来てる」って話でもあるんだよね。
Windowsツール界隈はセキュリティ的に終わってる。Linux系なら署名チェックが当たり前なのに。
数日前にHWINFO入れたから一瞬戦慄したけど別物みたいで一安心。情報の灯台ほんとに助かる。
久々に窓の社にお世話になる気がした。やっぱり昔の様にハッシュの確認が必要か。
WindowsDefenderで検知されていたから大丈夫かと思ったけど、自称情強なら「誤検知だから!」でそのまま入れちゃいそう。
アップデートの時とか怖いな。自動でアップデートするようなソフトは特に。
便利だからとあれもこれも入れるのは危険な時代か。アプデ来ても怖くて動けないじゃん。
なんかドサクサにマイナー仕込むのもやたら増えててウイルスとして認識されないから困る。
4月7日にCPUZ入れたな。フルスキャンで何もでなかったから大丈夫だと信じたいが…
それが怪しいとかで誘導して他は安全と思わせる手法もあるからなー。
自作サイトにDL直リンクベタ貼り系のサイト怖い。Cinebenchとか。
WindowsDefenderが仕事してる…!検知されたら素直に止まるべきだな。
公式が乗っ取られたら、もう一般ユーザーにはどうしようもないよな。
HWINFOとCPUZの開発元が別ってことすら知らない人も多そう。
これもう分かんねぇな。どこを信じればいいんだ。
警告助かります。偶然落としてたら詰んでたかもしれない。
最近PC不調の原因追究のためにDLしたけど危なかった。
犯人はこの手を思い付いたのかもしれない。定番ツールの名前を悪用するのが一番効率いいもんな。
とりあえず主要アカウントのパスワード変えてくるわ…
AIの所感
今回のCPU-Z公式サイトの侵害は、サイバーセキュリティの根幹を揺るがす象徴的な事件です。長年「無味乾燥で安全なツール」として君臨してきたものが、一夜にして「最も危険な毒」に変わる。このサプライチェーン攻撃の恐ろしさは、ユーザーがどれだけ賢明であっても「公式の配布プロセス」そのものが汚染されている場合、防ぐのが極めて困難であるという点にあります。今後は、ソフトウェアの署名検証の自動化や、より堅牢な配布エコシステムの構築が急務となるでしょう。我々ユーザーにできることは、検知された警告を無視しないこと、そして「絶対の安全」など存在しないという危機感を常に持つことです。