CPUIDの公式配布導線が短時間にわたり改ざんされ、CPU-ZとHWMonitorのダウンロードリンクを通じて悪性ファイルが配布されていたことが明らかになった。CPUIDは補助的な機能である「side API」が約6時間侵害され、その結果として2026年4月9日から4月10日にかけてメインサイト上で悪性リンクがランダムに表示されていたと説明している。
公に異常が広く共有されるきっかけになったのは、Redditの r/pcmasterrace に投稿された警告スレッドだ。投稿者は、HWMonitor 1.63 への更新をたどって公式の CPUID ページからファイルを落としたところ、HWiNFO_Monitor_Setup.exe という不自然な名称の実行ファイルが配布され、Windows Defender が直ちに検知したと報告した。さらに hwmonitor_1.62.exe のURLを hwmonitor_1.63.exe に置き換えると正規のファイル名でも取得できたとしており、配布ページ上の導線と直接URLの間に差があることを示していた。
ここで見えてくるのは、侵害の中心がアプリ本体そのものではなく、配布経路の制御部分にあった可能性が高いという点だ。CPUIDは署名済みの元ファイルは侵害されていないと説明しており、BleepingComputerも別経路のクリーンな直接URLから hwmonitor_1.63.exe を取得できたとしている。ユーザーが見ていた「公式サイトからのダウンロード」が、ページ上のリンク表示、配布先ストレージ、直接取得できるファイルURLに分かれていたことが、今回の整理の出発点になる。
CPU-ZとHWMonitorは、PCの構成確認やハードウェア監視で広く使われている定番ツールである。ユーザーが多い配布ソフトで公式導線が短時間でも汚染されると、影響範囲は侵害時間の長短だけでは測りにくい。本稿では、CPUID側の説明と公開中の配布ページの情報を突き合わせながら、何が起きたのか、どこが改ざんされたのか、ユーザーにとってどこまでが確認済みなのかを整理する。
公式説明が示す侵害範囲
今回の事案で基礎になるのは、CPUIDのコメントだ。CPUIDは調査継続中としつつ、「4月9日から4月10日にかけて約6時間、補助的な機能、つまりside APIが侵害され、その結果メインサイトがランダムに悪性リンクを表示していたようだ。署名済みの元ファイルは侵害されていない。問題は発見され、すでに修正済みである」と説明した。
この説明から読み取れる事実は三つある。第一に、CPUIDは侵害を認めているが、対象を「side API」と呼ぶ補助的な機能に限定していること。第二に、影響は2026年4月9日から10日にかけての約6時間で、その間にメインサイト上のリンク表示がランダムに汚染されたとしていること。第三に、署名済みの元ファイル自体は無傷だと述べていることである。
ここでいう「ランダムに悪性リンクを表示」という説明は、ユーザーから見れば同じ公式サイトを踏んでいても、常に同じ挙動にはならなかった可能性を示す。全員が同じ汚染ファイルを受け取ったのではなく、一部のアクセスでのみ悪性リンクが返されていたのであれば、後から再訪しても問題が再現しないケースがあり得る。今回の件が、単純に「公式サイトが丸ごと差し替えられた」とは言い切れないのはそのためである。
一方で、この説明だけでは侵入経路や影響人数までは分からない。side APIがどのような役割を担っていたのか、なぜリンク制御に介在できたのか、実際に何件のダウンロードが発生したのかは不明だ。
ユーザー側で最初に異常が可視化された流れをたどると、このCPUIDの説明とも矛盾しない。Redditの投稿では、公式ページから誘導された先で HWiNFO_Monitor_Setup.exe が配られたこと、Windows Defender が即座に警告したこと、そして直接URLでは hwmonitor_1.63.exe が取得できたことが報告されていた。
CPU-ZとHWMonitorの配布ページに見える構造
配布経路の実像を考えるうえで参考になるのが、CPU-ZとHWMonitorの公式配布ページである。CPU-Zの公式ページには、Windows向けの現行版としてVersion 2.19が掲載され、バージョン履歴の日付は2026年3月13日と表示されている。このページでは、setup のリンク先が www.cpuid.com を指している一方で、zip のリンク先は pub-fd67c956bf8548b7b2cc23bb3774ff0c.r2.dev となっている。見た目は同じ公式配布ページでも、実際の取得先は一種類ではない。
この点は、BleepingComputerが「汚染物はCloudflare R2側に置かれていた」と報じている内容とつながる。Cloudflare R2はオブジェクトストレージの配布先として使われることがあり、CPU-ZのページでR2ドメインが明示されている事実は、少なくとも一部の配布がCPUID本体ドメインの直下では完結していないことを示している。今回のソースから確実に言えるのは、公式ページの表示、リンク先、取得されるファイルの所在が一つの面で完結していないという点である。
HWMonitor側でも事情は単純ではない。公式ページのスナップショットではVersion 1.62 for Windowsが表示され、バージョン履歴の日付は2026年2月12日となっている。しかし、BleepingComputerはクリーンな直接URLから hwmonitor_1.63.exe を取得できたと報じている。ページ上の表示と、記事中で言及された直接取得物のバージョンが一致していない点は確認済みの事実である。ただし、その差が通常運用の更新遅延なのか、別系統の配布管理によるものなのかは今回のソースだけでは断定できない。
汚染されたのは何で、汚染されていないのは何か
BleepingComputerは、汚染された配布物の名称を HWiNFO_Monitor_Setup と報じている。名称だけを見るとHWMonitorと混同しやすいが、少なくとも記事上では、CPU-ZとHWMonitorのダウンロード導線に絡む悪性配布物として扱われている。ユーザー視点では、公式ページから落としたファイル名が普段見慣れたものと一致しているかどうかだけでは、即座に安全性を判断しにくい状況だったと考えられる。
その一方で、CPUIDは署名済みの元ファイルは侵害されていないと説明している。さらにBleepingComputerは、クリーンな直接URLから hwmonitor_1.63.exe を取得できたとしている。この二つを並べると、今回の侵害はソフトウェアの開発成果物や署名済みビルドをすり替えたというより、ユーザーをどの配布先へ誘導するか、その制御経路に手が入った可能性が高い。ここはソースから導ける分析であり、CPUIDが示した「side APIの侵害」とも整合する。
これはサプライチェーン攻撃の中でも、ビルドパイプラインの乗っ取りとは性格が少し異なる。ユーザーから見れば「公式サイトから入手した」という事実は同じでも、開発元が作成して署名した実ファイルが改ざんされたのか、配布ページまたはリンク制御が差し替えられたのかで、調査の焦点も再発防止策も変わる。今回のCPUIDの説明は後者を示唆している。
ユーザーにとっての意味と、今回見えている限界
CPU-ZとHWMonitorのようなツールは、システム情報や温度、クロック、電圧の確認といった日常的な用途で使われる。企業の基幹業務ソフトと違い、配布時に厳格な検証手順を毎回踏むユーザーばかりではない。そのため、公式サイトからのダウンロード導線が短時間でも汚染されると、侵害時間の長さ以上に「普段通りの行動で被害に触れる可能性があった」ことが問題になる。
ただし、現時点で被害の広がりの具体的な数までは不明だ。追跡できた公開情報の中には、実際に何人が汚染ファイルをダウンロードしたのか、実行後の感染がどの程度確認されているのかは出ていない。侵入経路も不明のままだ。
追って見えたのは、署名済みの本体が無傷でも、配布リンクの制御が崩れるとユーザーは公式導線のまま悪性ファイルに触れうるということだ。CPUIDが問題を修正済みと説明している点は重要だが、再取得や再実行を判断する前に見直すべきなのは、公式ページの更新状況、自分が取得したファイル名や入手時刻、そして既存のダウンロード物を保持したままにしていないかである。今回の一件では、アプリ本体の信頼性と配布経路の信頼性を切り離して扱えないことがはっきり出たと言えるだろう。
Sources