ova
ブログに戻る
·10分で読める·productdevbook

Macのネットワーク活動を監査する方法

20分で実施できる再現可能な監査手順。Macが何と通信しているかを把握し、何を残すべきかを判断します。

  • Security
  • Privacy
  • macOS
  • Network monitoring

四半期に1度Macのネットワーク活動を監査するために20分を確保していて、唯一の問いは実際に実行できるプロセスがあるか、それともnettopとノートで再びでたらめにするかです。本ガイドは繰り返し可能な20分のスクリプトを与えます: スキャン、レビュー、ホスト名チェック、ログ保持、アクションアイテム。毎回同じ方法で実行。前四半期と比較。ドリフトを発見。

これがMacのネットワーク活動を午後丸ごとにせず監査する方法。

なぜ気にするか——そして何を探すか

監査の要点は妄想ではない。ドリフトです。すべてのmacOSインストールはどこかでインターネットに話し始めて止まらなかったバックグラウンドサービスを徐々に蓄積します。四半期監査が捕まえる:

  • インストールしたことを忘れたアプリで、まだ毎日本国に電話しているもの。
  • 以前よりおしゃべりになり始めたテレメトリエンドポイント(更新後)。
  • ネットワークフットプリントを静かにアップグレードしたヘルパープロセス(Chrome、Slack、Adobe)。
  • 認識しないホスト名への外向き接続。

20分の監査、年4回が、ほぼすべてを捕まえるのに十分。

始める前に必要なもの

  • メニューバーのネットワークモニターovaが本ガイドで使うもの。約3MB、約1Hzでアプリ別レートをサンプリング、ヘルパープロセスを親の下に折りたたみ。
  • nettop — 組み込み。インストールなし。
  • オプション: ホスト名レベルの可視性のためのLittle SnitchまたはLuLu。監査はそれらなしで動くがそれらでよりシャープ。
  • 発見のためのメモアプリまたはプレーンテキストファイル。監査は前回と比較できるときだけ有用。

それだけ。モニター以外の追加インストール、カーネル拡張、システム変更なし。

Macのネットワーク活動を監査する20分スクリプト

スケジュールはこちら。タイミングを守りましょう——30分超えると四半期習慣が「時間があるときにすること」に流れ、つまり決してしないことになります。

0〜2分: ベースラインを設定

開く必要のないアプリを終了。動かしておく: ブラウザ、Finder、システムサービス。目標は「アンビエント」ネットワーク使用——能動的に使っていないときMacが何をするか——を見ること。

メニューバーからovaを開く。合計上下レートを記録。アイドルなMacでは、プッシュ通知ハートビート、iCloud、Spotlight用に数KB/sを期待。アイドル中に持続的に100KB/sを超えるものは見る価値あり。

2〜7分: nettopスキャン

ターミナルを開く。実行:

nettop -P -m route -L 5 > ~/Desktop/nettop-$(date +%Y%m%d).txt

-L 5は5サンプルキャプチャ(既定で1秒に1)、それから終了。出力はデスクトップの日付付きファイルへ——後で保持のためこれを保つ。

実行中、何もしない。5秒、それからファイルをチェック。次のような行が見えます:

Slack.21341    in:1.2KB  out:823B
Google Chrome.41203   in:48KB   out:9KB
WhatsApp.55102 in:512B   out:0B

認識しないものを流し見る。場所が分からない名前は手がかり。

7〜12分: モニターでのアプリ別レビュー

ovaに切り替え。アプリ別リストを開く。直近1時間(またはアプリが既定で表示する最長窓)の合計バイトでソート。

トップ10の各アプリで、問います:

  1. このアプリは今そもそもネットワーク上にあるべきか? ミュージックプレーヤー——はい。PDFリーダー——おそらくいいえ。
  2. 量は妥当か? 持続30KB/sのSlackは正常。持続3MB/sのSlackは異常。
  3. これは意図的にインストールしたアプリか、残骸か? 残骸ならアンインストール。

ヘルパープロセスの折りたたみがここで重要。なしだとトップ10はGoogle Chrome Helper (Renderer)Slack Helper (GPU)Discord Helper (Plugin)のような行で埋まります。折りたたみありだと、それぞれが親アプリの下に折りたたまれ、リストが実際に読めます。

ヘルパープロセスの折りたたみ
ovaはヘルパーPIDを親の下にグループ化するので、アプリ別リストはプロセスツリーではなくアプリケーションのように読めます。監査が速く進みます。

12〜16分: ホスト名チェック

ここでLittle Snitch(またはLuLu)が居場所を稼ぎます。インストール済みなら、ネットワークモニタービューを開き、監査窓のプロセス別ホスト名を見ます。

ファイアウォールクラスのツールがなくても、統合ログをtailして部分的なホスト名チェックができます:

log show --predicate 'subsystem == "com.apple.network.connectivity"' --style compact --last 20m | head -200

出力は密ですが、connect toまたは特定のアプリ名を検索するとドメインのヒントが表面化。

探すもの:

  • 馴染みのないホスト名。 ブラウザでドメインを検索。正当なテレメトリエンドポイントは通常文書化された目的を持つ。
  • 広告/トラッキングドメインへの頻繁な接続。 一般的な犯人: *.doubleclick.net*.scorecardresearch.com*.googletagmanager.com。ブラウザ拡張が助けうる(uBlock Origin)が、ネイティブアプリにはファイアウォールルールが答え。
  • 予期しない国への接続。 本質的に悪くない——多くのCDNは地域的——が記録の価値あり。

16〜18分: ログ保持

生成したnettop-YYYYMMDD.txtファイルをフォルダに移動、例: ~/Documents/network-audits/。オプションでovaからアプリ別サマリーをスクリーンショットとしてエクスポート。

なぜ保持: 最初の監査はただのスナップショット。2回目は比較になります。3回目までに傾向を発見できます——「Adobeトラフィックが第2四半期に倍に」または「Spotifyが更新後200KB/sから800KB/sに」。

テキストファイルとスクリーンショットの平らなフォルダで十分。派手なツールなし。

18〜20分: アクションアイテム

3〜5つの具体的なアクションを書き留めます。実際の監査からの例:

  • 「MagicScreenshotProをアンインストール——昨年2回使用、起動ごとにテレメトリ。」
  • 「Little SnitchでAdobe *.adobe.ioを遮断——ライセンスチェックにのみ必要、グレースフルに失敗できる。」
  • mds_storesからの14MB外向きスパイクを調査——おそらくSpotlight再インデックスだが次の監査で確認。」
  • 「Quad9 DNSプロファイルを追加。」
  • 「Microsoft Wordで分析を無効化。」

3〜5が正しい数。それ以上だとしません。それ以下だと監査で何も表面化していない、通常注意深く見ていなかったことを意味します。

リアルタイムビューで監査を実行

ovaはライブのアプリ別レートとスクラブ可能な履歴を表示——ローカル、署名済み、約3MB。

macOS用ダウンロード

四半期ごとに追跡するもの

前回の監査と比較する価値のあるもの:

シグナルなぜ重要か
アイドルベーストラフィック上向きドリフトは新しい何かがおしゃべりを意味
バイト/日でトップ5アプリ新参または成長を明らかに
異なるホスト名の数上昇 = より多くのサービスが連絡される
動いているバックグラウンドヘルパーAdobe / Officeは更新で新しいものを追加することが多い
カーネル/ネットワーク拡張のあるアプリ各々が信頼委任

スプレッドシートは要らない。監査ごとに4行のメモで十分。

一般的な発見(とすべきこと)

「アンインストールしたアプリがまだネットワーク上にいる」

一部のアプリはLaunchAgentsを残します。それらをリスト:

ls ~/Library/LaunchAgents/ /Library/LaunchAgents/ /Library/LaunchDaemons/

アンインストールしたアプリに関連するもの——com.example.helper.plist——は削除可能。まずlaunchctl unload、それから削除。次の四半期に再監査して消えたか確認。

「アクティビティモニタがメニューバーツールと違う数字を表示」

アクティビティモニタのネットワークタブはプロセス起動以来カウント。メニューバーモニターはローリング窓でカウント。同じカーネルデータの異なるレンズ——両方正直、ただ異なる間隔を測定。

「説明できない安定した50KB/sが見える」

順番に疑う: iCloud同期、ネットワーク経由のTime Machine、Spotlight再インデックス、Backblaze/Carbonite式バックアップ、Dropbox/Drive同期、OSアップデートダウンロード。nettop -PがPIDを名指す。ほとんどは正当。疑わしいアプリを終了してレートが下がるか観察して確認。

監査中のプライバシー考慮

ログを保存するなら、それらはホスト名とタイムスタンプを含む——機密メタデータ。それでよければiCloud Drive同期フォルダにではなくローカル保存しましょう。よりよくは、エンドツーエンドでローカルに留まる監査を実行:

  • 履歴をディスクに保つモニター(クラウドダッシュボードなし)。
  • ローカルフォルダに保存されたnettop出力。
  • クラウド同期ドキュメントではなくローカルテキストファイルのメモ。

ovaは設計上このプロファイルに合います——リモートダッシュボードなし、アカウントなし、テレメトリなし。通信量履歴はMac上、それ以外どこにもなし。

より大きな絵: モニターがファイアウォールと組み合わさる理由

監査は発見を生みます。一部の発見は「これを遮断すべき」。それがLittle Snitch(またはLuLu)の出番——ルールを設定、次の四半期に監査を再実行してルールが保たれたか確認。

一般的なパターン:

  1. 監査がおしゃべりなAdobe Updaterを特定。
  2. Little Snitchルール: Adobe Updater外向きを拒否。
  3. ovaは次のPhotoshop起動時にアップデータートラフィックがゼロであることを確認。

モニターとファイアウォールは異なることをします。本物の監査ループには両方欲しい。

まとめ

Macのネットワーク活動を監査する20分四半期習慣は、きれいなMacをおしゃべりなものに変えるドリフトを捕まえます。スクリプトは: アイドルベースライン、nettopスナップショット、ヘルパー折りたたみ付きアプリ別レビュー、ホスト名チェック、ログ保持、3〜5アクションアイテム。毎回同じ方法で実行。前回と比較。発見に基づき行動。

日付を選ぶ——四半期最終金曜、長い週末の朝、定着するもの。今すぐカレンダーに入れましょう。監査習慣の最も難しい部分は始めること。~/Documents/network-audits/に1つ履歴ファイルがあれば、2つ目が欲しくなります。