CPUID、6時間のbreachでHWMonitor配布リンクがmalwareへ誘導されたと説明

2026年4月10日のr/pcgamingで急速に広がったCPUIDのsecurity incidentは、PC gamingユーザーにとって非常に現実的な警告だった。HWMonitorやCPU-Zで知られるCPUID websiteが、一時的にmalware配布の入口として悪用されたからだ。新しいpatchのあとにframetimeを測ったり、GPU temperatureやpower drawを確認したり、driverの挙動を切り分けたりするとき、多くのusersはこうしたutilityを半ば習慣的に使う。だから今回の件は遠いenterprise-securityの話ではなく、PC gamingの日常 workflowがどれほどsupply-chain trustに依存しているかを示した出来事といえる。

何が起きたのか

The Registerによれば、CPUIDはsecondary backend feature、いわばside APIが2026年4月9日から4月10日にかけて約6時間compromiseされたと説明している。signed original file自体は改ざんされていなかったが、その時間帯にはwebsiteがrandomにmalicious download linkを表示し得たという。つまりbuild pipelineは無事でも、その手前のdelivery layerが汚染されていた構図だ。

この違いは技術的には重要だが、誤ったlinkを踏んだend userにとって安心材料にはなりにくい。報道で引用された分析では、64-bit HWMonitor userを狙うfake fileが確認され、fake CRYPTBASE.dllがcommand-and-control infrastructureと通信し、追加payloadを取得し、PowerShellや.NET componentを使って主にmemory上で動作する流れが示された。Chrome関連interfaceを通じてbrowser dataが狙われる兆候もあったという。

なぜPC gamersに重要か

CPUIDのutilityはPC gamingのdaily workflowに近すぎるほど近い。新patchでtemperatureが上がったか、GPU clockが安定しているか、laptopでthermal throttlingが出ているかを確かめるとき、playersはこうしたtoolをほとんど反射的に使う。そのためbrandへのtrustが非常に強く、名前を見ただけで急いでinstallしてしまいやすい。6時間というwindowは短く見えても、通常のupdate cycleの中では十分に危険だ。

CPUIDは問題は修正済みだと述べているが、2026年4月10日時点でbackendがどう侵害されたのか、どれだけのmalicious downloadが実際に配布されたのかは公表されていない。その6時間内にHWMonitorやCPU-Zを落とした人は、machineが露出した前提でcredentialsを更新し、current linkを確認したうえでclean copyを再取得するのが安全だ。今回のincidentが残した教訓は単純で、performance toolであってもlauncherやmodと同じだけ厳しいsupply-chain skepticismが必要だということだ。