CPU-Z・HWMonitorに仕込まれたSTX RAT ─ 公式サイト6時間改ざんのウォータリングホール攻撃

ITエンジニアを狙った高精度の罠

「信頼できる公式サイトから直接ダウンロードしたのだから、安全なはず」——2026年4月9日から10日にかけて、この常識が通用しなくなった。

PCのCPU温度・クロック・電圧をリアルタイム表示する定番フリーウェア「CPU-Z」と「HWMonitor」を提供するフランスのCPUID社の公式サイトが改ざんされ、正規の外見を持ちながら遠隔操作マルウェア（RAT）を内包するインストーラーが約6時間にわたって配布された。被害者はITエンジニア・システム管理者・セキュリティ研究者といった高い技術力と特権アカウントを持つ層が中心だ。

攻撃者はこのタイミングを偶然選んだわけではない。CPUIDの主要開発者が休暇中である期間を把握した上で、対応が遅れる6時間を計算して実行した、計画的なウォータリングホール攻撃だった。

---

攻撃の仕掛け ─ 二次APIの侵害

CPUID社の公式声明によれば、攻撃者が侵害したのはメインシステムではなく、ダウンロードリンクを動的に生成するバックエンドの二次APIだった。このAPIが改ざんされたことで、cpuid.comのトップページや製品ページは外見上まったく正常に見えながら、ランダムにCloudflare R2ストレージ上にホストされた悪意あるインストーラーを指し示すリンクを返すようになった。

攻撃者がCloudflare R2を使ったのは理由がある。Cloudflareの配信ネットワークから来るダウンロードは、多くの組織のファイアウォールやプロキシで「信頼できる配信元」として扱われ、ブロックされにくいからだ。

攻撃の窓は 2026年4月9日 15:00 UTC〜4月10日 10:00 UTC（約6時間20分）。CPUIDがAPIの異変に気づいて修正を完了するまでの間、知らずにダウンロードした150人以上のユーザーがSTX RATに感染した。

---

DLLサイドローディングによる初期感染

悪意あるインストーラーは一見すると正規品と変わらない。セットアップウィザードも、ソフトウェア本体の動作も正常だ。しかし、インストール先フォルダに仕掛けが隠されていた。

通常のHWMonitorインストールでは存在しないはずの cryptbase.dll という DLL が、正規の実行ファイルと同じフォルダに密かに配置されていた。

Windowsアプリケーションが起動時にDLLをロードする際、Windowsはまず実行ファイルと同じフォルダを検索する（DLLサーチオーダー）。cryptbase.dll は本来Windowsシステムフォルダ（C:\Windows\system32\）にある標準DLLだが、アプリケーションのフォルダに同名のファイルが存在すると、OS標準の合法的な仕組みにより偽のDLLが先に読み込まれる。

HWMonitorの64ビット版が起動した瞬間、攻撃者が用意した偽 cryptbase.dll がロードされ、感染チェーンが静かに始動する。

[正規の HWMonitor.exe が起動]
         ↓
[cryptbase.dll を検索（DLLサーチオーダー）]
         ↓
[同一フォルダの悪意ある cryptbase.dll が先にロード]
         ↓
[5段階のインメモリ感染チェーンが起動]

---

5段階のインメモリ感染チェーン

このマルウェアが検出を困難にしている最大の要因が、ディスクに痕跡を残さない完全インメモリ実行だ。各ステージはXOR暗号化（キー: 53 F4 49 91 8C E5 D9 9B 3A CE 62 5F 80 40 7B 30）とビット演算を組み合わせた変換でパックされており、ステージごとに展開・実行される。

ステージ	役割
Stage 1	DLLサイドローディングのトリガー（cryptbase.dll による起動）
Stage 2	リフレクティブPEロードのためのシェルコードスタブ
Stage 3	中間リフレクティブDLL（次ステージのデコーダ）
Stage 4	追加アンパックステージ（アンチサンドボックス検査を実施）
Stage 5	STX RAT 最終ペイロードの展開

Stage 4 では、仮想マシン・サンドボックス環境を検知するチェックが実行される。分析環境と判断された場合はペイロードの展開が停止するため、自動化された動的解析を回避できる。最終的にすべての処理は ntdll.dll の関数を.NETアセンブリ経由でプロキシする形で実行され、EDRやアンチウイルスによる挙動監視をすり抜けやすくなっている。

---

STX RATの能力と持続性

最終ペイロードとして展開される STX RAT は、情報窃取型マルウェア（インフォスティーラー）とリモートアクセストロイの木馬（RAT）の機能を兼ね備えた複合型マルウェアだ。感染端末では以下が可能になる。

情報窃取機能:

• ブラウザ保存パスワード・セッションCookieの抽出
• 資格情報・APIキー・SSHキーの収集

リモートアクセス機能:

• C2サーバー（welcome[.]supp0v3[.]com/d/callback）への定期コールバック
• 攻撃者からの任意コマンド実行
• ファイルのアップロード・ダウンロード

検出回避機能:

• **DNS-over-HTTPS（DoH）**を使ったC2通信（通常のDNS監視をすり抜ける）
• システム再起動後も動作を継続する4つの独立した永続化メカニズム

C2のインフラは、同じ攻撃者が2026年3月に実施した FileZilla（FTPクライアント）への攻撃でも使われていた。つまり今回が同一グループによる人気ソフトウェアを狙った連続攻撃の第2弾であることを示している。

---

なぜITプロフェッショナルが狙われるのか

CPU-ZやHWMonitorのユーザーは、一般ユーザーとは異なるプロファイルを持つ。

• システム管理者・ネットワークエンジニア: 本番インフラへのアクセス権を持つ
• セキュリティ研究者・ペネトレーションテスター: セキュリティ製品を無効化する方法を知っている
• データセンター技術者・OEMベンダー: 大規模インフラへの接触点を持つ
• ゲーマー・PC自作ユーザー: ハードウェアへの深い知識を持つ上級ユーザー

これらのユーザーが保有するクレデンシャルや知識は、組織全体への横展開に使える高価値な資産だ。「セキュリティを知っているから大丈夫」という油断を逆手に取った、精度の高いターゲティングと言える。

---

今すぐ確認すべきこと

CPUID社は既に修正を完了しており、現在公式サイトから提供されるダウンロードは正規品に戻っている。CPU-ZやHWMonitorを信頼して使い続けること自体は問題ない。ただし、今後も同様の攻撃に備えてダウンロードしたファイルのハッシュ値を公式ページのものと照合する習慣をつけることを推奨する。

---

防御の本質 ─ 「信頼できる場所」への過信を疑う

今回の攻撃が突きつけるのは不快な事実だ。公式サイトであっても、正規の署名付き実行ファイルであっても、100%安全とは言えないという現実だ。

攻撃者はユーザーの「公式サイトから直接ダウンロードしたから安全」という信頼モデルを正確に理解し、その信頼の隙間を突いた。同月、FileZillaでも同じ手法が使われていた事実は、これが再現性の高い攻撃パターンであることを示している。

ソフトウェアダウンロード時の対策として有効なのは：

• ダウンロードURLだけでなくファイルのSHA-256ハッシュを公式ページと比較する
• 可能であれば複数の配信元（GitHub Releases、公式ミラー）からのダウンロードと比較する
• 組織での利用はプライベートリポジトリ・内製パッケージマネージャーでバージョンを固定する
• EDRの展開とメモリスキャン・挙動監視を組み合わせる

同月に発覚したaxiosサプライチェーン攻撃（UNC1069）や1,700本超の悪意あるOSSパッケージと合わせて、2026年はソフトウェアサプライチェーンへの攻撃が急増している年と認識すべきだ。

---

参考情報

• Cyderes Howler Cell: How CPUID’s HWMonitor Supply Chain Was Hijacked to Deploy STX RAT
• BleepingComputer: Supply chain attack at CPUID pushes malware with CPU-Z, HWMonitor
• The Register: CPUID hijacked to serve malware as HWMonitor downloads（2026年4月10日）
• SecurityAffairs: CPUID watering hole attack spreads STX RAT malware
• eSentire: STX RAT technical analysis（YARA rules）
• Kaspersky Securelist: CPU-Z & HWMonitor watering hole analysis