公式配布が侵害されるリスク
2026年4月、CPU-Z/HWMonitorの配布元CPUID公式サイトが侵害され、配布ファイルにマルウェアが混入した可能性が報じられた。偽サイトではなく「公式サイトから入手した正規手順」が攻撃経路になり得る点が本質である。利用者はブックマークからダウンロードし、通常通り実行するだけで感染が成立する。
改ざんは短期間で行われることが多く、地域や対象端末を絞って配布内容を出し分けるケースもある。端末に目立つ異常がないことは、安全の根拠にならない。情シスとしては、配布経路の信頼を前提にした運用を改める必要がある。
ユーティリティが狙われる背景
ハードウェア監視ツールは普及率が高く、検証端末や一時利用端末など統制が弱い環境に入り込みやすい。加えて、センサー取得やドライバ連携の都合で管理者権限で実行されがちである。攻撃者にとっては権限昇格、永続化、情報窃取の足がかりになりやすい。
さらに更新頻度が高く、「最新版へ上書きインストール」が習慣化している点も悪用される。改ざんが紛れれば、ユーザー行動そのものが感染拡大のドライバーになる。便利ツールほど、導入統制の例外にしてはならない。
企業での確認ポイントと初動
まず、いつ・どこから入手し、どの端末に導入したかを棚卸しする。ダウンロード履歴、ファイル作成日時、インストール記録、ソフトウェアインベントリを突合し、影響期間に該当する可能性を洗い出す。疑わしい端末はネットワーク隔離を優先する。
次に、実行ファイルのデジタル署名やハッシュを確認する運用を徹底する。署名があっても安全を保証しないが、欠落や不整合は強い警戒材料となる。併せてAV/EDRのフルスキャンに加え、複数エンジンでのオンデマンド検査を実施したい。
感染否定ができない場合は、認証情報流出を前提に対応する。重要アカウントのパスワード変更、セッション破棄、MFA強制適用を速やかに行う。管理者端末や重要端末では、調査結果次第で再イメージも選択肢に含めるべきである。
再発防止の実務:配布管理とEDR監視
「正規ツール」もアプリ許可制と配布管理の対象にする。許可リスト運用やコード署名ベースの許可、申請・承認フローを設け、インストーラーは社内リポジトリから配布する。ベンダー提示のSHA-256などで検証済み資材を保管し、インターネット上の改ざん影響を局所化する。
EDRでは挙動監視を重視する。ユーティリティがPowerShell/cmd/rundll32を不自然に起動する、スケジュールタスクやRunキーへ書き込む、資格情報(LSASSなど)へのアクセス兆候がある、といった観測点をルール化し、隔離・封じ込め手順を整備する。サプライチェーン攻撃は例外なく起こり得る前提で、検証と監視の両輪を平時から回すべきである。