CPU-Z・HWMonitorマルウェア混入事件｜CPUID公式サイト侵害とSTX RATの全容

監修者 伊東 雄歩

株式会社ウォーカー CEO。東北大学卒。MENSA会員、JDLA認定講師、健全AI教育協会理事。生成AI×教育・学習科学を専門とし、2億円超のシステム開発プロジェクトを統括。

taolis.net X note Voicy YouTube

PC自作ユーザーなら誰もが使ったことのあるCPU-ZとHWMonitor——その公式サイトから約19時間、マルウェアが配布されていたという衝撃の事件が2026年4月に発覚しました。

正規のダウンロードリンクが攻撃者に書き換えられ、何も疑わずクリックしたユーザーのPCにパスワード窃取型RAT（遠隔操作トロイの木馬）が侵入。

公式サイトを信頼するという、セキュリティの根本が揺らいだ事件です。

事件の概要

• 被害企業 — CPUID（フランスのソフトウェア会社。CPU-Z、HWMonitor、HWInfo等を開発）
• 攻撃期間 — 2026年4月9日15:00 UTC〜4月10日10:00 UTC（約19時間）
• 手口 — CPUIDのサイドAPI（副次的な機能用API）を侵害し、公式ダウンロードリンクを不正サイトに差し替え
• 対象ソフト — CPU-Z、HWMonitorの公式ダウンロードリンク
• 影響 — Kasperskyが150件以上の感染を確認。個人・企業が被害

STX RAT｜配布されたマルウェアの正体

• 種類 — STX RAT（Remote Access Trojan）。攻撃者がPCを遠隔操作できるマルウェア
• 侵入経路 — 正規のHWMonitor_x64.exeに悪意あるcryptbase.dllを同梱。DLLサイドローディングで実行
• DLLサイドローディング — WindowsのDLL検索順序を悪用し、正規アプリが不正DLLを読み込む技術
• 主目的 — ブラウザ保存パスワードの窃取。特にGoogle ChromeのIElevation COMインターフェースを狙う
• 技術詳細 — Zigコンパイラで作成されたDLL、IPv6エンコードの.NETデシリアライゼーション、MSBuild永続化

たとえるなら、この攻撃は「正規薬局の棚に偽薬を並べる」手口。外見は本物の薬と同じパッケージだが、中身はまったく別物——利用者が疑う余地がありません。

サプライチェーン攻撃とは？

• 定義 — ソフトウェアの開発・配布経路を攻撃し、正規のチャネルからマルウェアを配布する手法
• 従来例 — SolarWinds事件（2020年）、3CX事件（2023年）、PyPI/npm汚染
• 今回の特徴 — コード改ざんではなくダウンロードリンクの差し替え。より単純だが効果的
• 関連事件 — 3月のFileZilla偽サイト攻撃と同一のC2サーバーを使用。同一犯の可能性

被害の範囲と影響

• 確認被害数 — Kasperskyが150件以上の感染を特定
• 地域分布 — ブラジル、ロシア、中国が中心。日本を含む他地域でも被害の可能性
• 被害組織 — 小売、製造、コンサルティング、通信、農業など多業種
• 個人被害 — ブラウザに保存したパスワード（SNS、銀行、ショッピングサイト等）の漏えいリスク
• 潜在被害 — RAT経由で追加マルウェア投入やランサムウェア展開の可能性

対象期間にダウンロードした場合の対処法

• ステップ1 — セキュリティソフトでフルスキャンを実行。「STX RAT」「cryptbase.dll」の検出を確認
• ステップ2 — ブラウザの保存パスワードをすべて変更。特に金融サービス・メールを優先
• ステップ3 — 可能なサービスで二要素認証（2FA）を有効化
• ステップ4 — 不審なcryptbase.dllやMSBuild関連のタスクスケジューラ登録がないか確認
• ステップ5 — CPUIDの公式サイトから最新版を再ダウンロード（現在は修正済み）

今後のダウンロード時に気をつけること

• ハッシュ検証 — ダウンロード後にSHA-256ハッシュを公式公開値と照合。改ざんを検知
• デジタル署名確認 — 実行前にコード署名証明書が正規発行元かチェック
• パッケージマネージャ活用 — Scoop、Chocolatey等の検証済みリポジトリからインストール
• 公式リリースノート確認 — 突然のアップデートは公式ブログやSNSで告知されているか確認
• サンドボックス実行 — 新規ダウンロードは仮想環境やサンドボックスで初回実行

たとえるなら、これは「食品のパッケージをスーパーで買う前に賞味期限と封印を確認する」習慣。公式サイトだからといって無条件に信頼するのではなく、一手間かけて真正性を確認するクセが身を守ります。

よくある質問（FAQ）

Q. 現在CPU-Z/HWMonitorをダウンロードしても大丈夫ですか？

はい。

CPUIDは攻撃を認知後すぐに修正しており、現在の公式ダウンロードは安全です。

ただし念のためハッシュ検証を行うことを推奨します。

Q. 攻撃者は誰ですか？

現時点で特定されていません。ただし3月のFileZilla偽サイト攻撃と同一のC2インフラを使用しており、同一グループの可能性が指摘されています。

Q. Macユーザーは影響を受けますか？

今回の攻撃はWindows版のみが対象です。CPU-ZとHWMonitorはWindowsソフトのため、macOS/Linuxユーザーは直接的な影響なしです。

Q. 他のCPUID製品（HWInfo等）も影響を受けましたか？

CPUIDの発表では、影響はCPU-ZとHWMonitorのダウンロードリンクに限定されています。ただしAPIが侵害されたため、他のリンクも差し替え可能だったとの指摘もあります。

まとめ

この記事のポイントを振り返りましょう。

• CPUID公式サイトが約19時間ハッキングされ、CPU-Z/HWMonitorの代わりにマルウェアが配布
• 配布されたのはSTX RAT。DLLサイドローディングでブラウザパスワードを窃取
• 150件以上の感染を確認。企業・個人が被害
• 対象期間にDLした場合はフルスキャン→パスワード変更→2FA有効化が急務
• 「公式サイト＝安全」はもう通用しない。ハッシュ検証と署名確認を習慣化すべき

今回の事件は、「信頼の盲点」を突くサプライチェーン攻撃の最新形です。

公式サイトだから安全、有名ソフトだから大丈夫——その思い込みが最大の脆弱性になる時代。

ダウンロード→検証→実行の3ステップを、すべてのソフトウェアに対して徹底しましょう。

参考文献

• Tom’s Hardware. (2026). HWMonitor and CPU-Z developer CPUID breached by unknown attackers. Tom’s Hardware
• BleepingComputer. (2026). Supply chain attack at CPUID pushes malware with CPU-Z/HWMonitor. BleepingComputer
• The Hacker News. (2026). CPUID Breach Distributes STX RAT via Trojanized CPU-Z and HWMonitor Downloads. The Hacker News
• The Register. (2026). CPUID hijacked to serve malware as HWMonitor downloads. The Register
• Cyderes. (2026). How CPUID’s HWMonitor Supply Chain Was Hijacked to Deploy STX RAT. Cyderes

こんな時代だから遊んで学びたい

AIを学ぶオンラインサロン「AIフレンズ」では、生成AIを楽しく、どこよりも優しく学べる環境をご用意しております。

毎週開催されるオンラインセッションでは、リアルタイムで学び合える機会を提供しています。 さらに、月に一度のオフラインイベントでは、メンバー同士が直接交流し、アイデアや知識を深めることができます。

「AIフレンズ」の仲間とともに、新しい価値を創造し、可能性を広げてみませんか？

一緒に学び、成長しながら、生成AIを使いこなす力を身につけましょう！

今すぐAIフレンズに参加して、未来への第一歩を踏み出そう！！

NVIDIA Cosmos 3公開｜物理AIのオープン世界モデル

『業界知識』がAI時代の最強スキル｜非エンジニア3人が受賞の衝撃

Tabnine（タブナイン）のよくある質問7選｜初心者が最初に知りたいこと

AI動画に『AI作成』表示義務｜与野党9党が公選法改正で合意

OpenAI・Anthropicが客先派遣型AI会社｜SIerに黒船襲来

VB.NET移行81.6%削減｜千葉銀行系CCSがDevinで実証