ova
ブログに戻る
·10分で読める·productdevbook

Macで不審なネットワーク活動を検知する方法

Macで怪しいネットワーク活動を早期に見つける方法。使えるツール、注目すべきシグナル、そして本当に問題を意味するパターンを解説します。

  • Security
  • macOS
  • Network monitoring
  • Privacy

午前2時にファンが回り始めます。友達が銀行に異常なログインを警告されたと話します。開発環境変数を流出させる悪意あるnpmパッケージのスレッドを読みます。突然、Macからのすべての小さな信号が疑わしく感じます。ほとんどの場合そうではありません——macOSは設計上おしゃべりです——ただ、Macユーザーが本当に調査すべき疑わしいネットワーク活動と通常のバックグラウンドノイズを見分ける方法を知ることは、持つ価値のあるスキルです。煽り抜きの落ち着いたチェックリストを示します。

この前提から始めましょう: 健康なMacの予期しないトラフィックの大多数は良性です。iCloud、Time Machine、プッシュ通知、ソフトウェアアップデート、インストールしたアプリからのテレメトリ——すべて奇妙な時刻にトラフィックを生みます。このチェックリストの要点は、本当に二度見する価値のある小さなパターン群を認識することです。

「通常ノイズ」の姿

疑わしい信号を発見できる前に、信頼するMacのバックグラウンドトラフィックがどう見えるかを知る必要があります。

Appleシステムサービス

すぐには認識しないPIDの下に現れます。一般的なもの:

  • cloudd — iCloud同期(写真、Drive、iCloudキーチェーン)
  • bird — これもiCloud(そう、デーモンが2つ)
  • apsd — Apple Push Notification service(常時オン、低レート)
  • nsurlsessiond — バックグラウンドURLSession転送(App Store、OSアップデート、ネットワーク先のTime Machine)
  • softwareupdated — macOSアップデート確認(時折のバースト)
  • gamedimagentidentityservicesd — Game Center、iMessage、FaceTimeのプレゼンス
  • mDNSResponder — ローカルWi-FiでのBonjour発見(ローカル限定、インターネット外)
  • syspolicydtrustd — コード署名と証明書検証(小さく頻繁)
  • parsecdSiri系統 — Spotlight提案、Siri

バイト数でソートしてこれらの名前とブラウザとチャットアプリだけが見えるなら、Macは問題ありません。

サードパーティの「同期」アプリ

「ファイルをどこでも」を約束するものは常時動きます:

  • Dropbox、Google Drive、OneDrive、Box
  • 1Password同期、Bitwarden
  • Notion、Obsidian Sync、Bear、Things
  • Spotify、ミュージック(カタログ更新、同期)
  • VPNクライアント(TailscaleApp、NordVPN)——トンネルを生かす

トラフィックは定常時は小さく、同期する何かを変えるとバースト。定常アイドルトラフィックは正常です。

バックグラウンドのブラウザ

ChromeとSafariは、拡張のアップデートサーバ、同期エンドポイント、忘れたピン留めタブ(Slackのウェブタブ、カレンダー、YouTube Musicタブ)への接続を保ち続けます。アイドルのブラウザもバイトを動かします。

Macユーザーが調査すべき疑わしいネットワーク活動の兆候

実際の疑わしいパターン。これらは詳しく見る価値のあるもの——パニックではなく、見るだけ。

1. 既知のプロセスからの未知の宛先

信頼するプロセス(IDEや先月インストールした小さなユーティリティなど)が、認識しないIP空間に接続しています。確認に値します。最もシンプルなツール:

  • lsof -i -P -n -p <PID> — そのPIDが開いているすべての接続、リモートIPとポート付き
  • IPに対するwhois、または逆引きDNS(dig -x <ip>)
  • IPの検索——ほとんどの正当なクラウドエンドポイント(AWS、GCP、Azure、Cloudflare)はすぐ明らか

ここでの疑わしいの意味: 小さなユーティリティが住宅用ISPのIP空間に接続、海賊版アプリが認識しないドメインに到達、目的に明らかな関連がないサーバにnpmやpipのCLIツールがpingしている。

2. 自分のマシンからの時間外アップロード

午前3時にアップロードする理由のないアプリからの安定アップロード——これは本物の信号です。これには注意が必要です: 正当なケースには、ネットワーク先へのTime Machine、iPhoneバックアップ後に追いついている写真同期、大きなiCloud Drive同期が含まれます。

ただ、認識しないアプリで、1時間持続し、寝ている間に数百メガバイトを送っているなら——調査しましょう。

3. 異常なポート

ほとんどのモダンアプリはポート443でHTTPS、80でHTTPを話します。正当な例外: SSH(22)、メール(25/465/587/993/995)、DNS(53/853)、データベースクライアント(5432、3306、27017、6379)、ゲームクライアント(選んだ範囲)、VPN(1194、WireGuardなら51820)、Tailscale(41641 UDP)。

明確な理由なしに4444、6667(IRC)、または任意の高ポートへの外向きは一目に値します。443を使わず非標準ポートでだけ話すアプリも同様です。

4. 1つのアプリからの持続的再接続

プロセスが接続を開き、閉じ、別のを開き、サイクルが数秒ごとに繰り返される。誤構成のVPNが再接続中かもしれません。レンダラーがループでクラッシュ中のElectronアプリかもしれません。不安定なプロキシ経由で本国に電話しようとする情報窃盗者かもしれません。

接続レート(プロセスごとの秒あたり接続数)はバイトレートよりも敏感な信号です。

5. インストールしていない新しいプロセス

見たことのない名前で通信量リストに現れ、/Applicationsに.appバンドルがなく、追加した覚えのない/tmpまたは~/Library/LaunchAgentsに実行ファイルがある。これは典型的なマルウェアの形です。確認:

launchctl list | grep -v com.apple

…でApple以外のアクティブなlaunchdジョブを見ます。そして:

ls -la ~/Library/LaunchAgents/ /Library/LaunchAgents/ /Library/LaunchDaemons/

…で永続化ファイルを見ます。ほとんどのエントリは正当(Dropbox、Spotifyなど)ですが、認識しないものは調べましょう。

6. 普段静かなプロセスからの突然のスパイク

Spotlight(mds_stores)は通常ネットワークI/Oをしません。コード署名デーモンはアップロードすべきではありません。正当なプロセスがそのカテゴリ外で突然振る舞うのは信号です——ソフトウェアアップデートが挙動を変えた場合もあれば、別の何かの場合もあります。

落ち着いたチェックリスト

パニックの前にこのリストを実行。約10分かかります。

  1. アクティビティモニタ → ネットワークタブを確認。 データ送信/秒とデータ受信/秒でソート。トップ5で認識しないものを記録。
  2. 各未知のプロセスについて: 右クリック → 検査 → 開いているファイルとポート。 どのアドレスと話しているか? バンドルパスは/Applications? ~/Library? /tmp?
  3. バンドルIDを調べる。 mdls -name kMDItemCFBundleIdentifier <path>。検索。正当なアプリは明確な結果を示す。
  4. launchdの永続化を確認。 launchctl list | grep -v com.appleと上記のLaunchAgents/Daemonsフォルダ。
  5. プロセスの統合ログを確認。 log show --last 1h --predicate 'process == "Suspicious"' --info——何をしていたか?
  6. インストール済み拡張を確認。 ネットワーク機能拡張用にsystemextensionsctl list。インストールしていないものは調べる。
  7. 評判の良いスキャナを実行。 Mac用MalwarebytesとKnockKnock(Objective-Seeから)はどちらも無料で評判が良い。万能ではないが明白なものは捕まえます。
  8. まだ不確かなら、スナップショットして問う。 疑わしいプロセスの検査パネルのスクリーンショットとlaunchctlリストの貼り付けで、経験者がトリアージするには十分です。

ovaを動かしてみる

一目で分かるメニューバー通信量モニター——ローカル、署名済み、約3MB。

macOS用ダウンロード

受動的モニターが役立つ理由

疑わしい活動の調査で最も難しい部分は、それが起きるときにそこにいることです。ファンが回り始めるまでに、問題のプロセスは止まっているかもしれません。アクティビティモニタを開くまでに、スパイクは消えています。

ovaのようなメニューバー通信量モニターは、受動的で継続的なので役立ちます。約1Hzでサンプリングし、履歴をローカルに保存するので、ようやくファンに気づいたときに過去数時間にスクラブして遡り、その時刻にネットワークがどう見えたかを正確に見られます。アプリ別、ヘルパー折りたたみ、タイムライン上で。

これは本物のEDRツール(深刻な脅威モデル向けに存在します)を置き換えませんが、個人利用では探している信号を見る確率を劇的に高めます。

フォレンジック用のアプリ別履歴
ovaはアプリ別通信量のスクラブ可能なタイムラインをローカルSQLiteファイルに保持します。何かおかしいと気づいたら、ライブで捕まえようとせず遡って見られます。

怖く見えるが通常そうでないもの

「これは疑わしく見えたが結局正常だった」の短いリスト:

  • 新しいWi-FiネットワークでのmDNSResponderからのバースト。 Bonjour発見。正常。
  • identityservicesdがAppleサーバに接続。 iMessage/FaceTimeのプレゼンス。正常。
  • apsd*.push.apple.comへの持続接続を保つ。 プッシュ通知。正常。
  • com.apple.geodが時折到達。 マップと位置サービス。正常。
  • trialdparsecdsearchpartyd Appleリサーチ / Spotlight / 探す。正常。
  • softwareupdated活動直後の大規模ダウンロードバースト。 macOSアップデート。正常。
  • 17.x.x.xへの接続。 AppleのIPレンジです。正常。

疑わしいときはプロセス名+「macOS」で検索——ほとんどのAppleデーモンはよく文書化されています。

実際にまれなもの

個人管理のMacでの本物の侵害は、次のようなユーザーには珍しい:

  • App Storeと公証アプリに留まる
  • 海賊版ソフトウェアを実行しない
  • 読まずにランダムサイトからシェルスクリプトを貼り付けない
  • macOSを最新に保つ
  • 重要アカウントでパスワードを再利用しない

今日の最も一般的な現実の脅威は「Macウイルス」ではなく、クラックアプリに同梱された情報窃盗マルウェア、開発者を狙う悪意あるnpm/pipパッケージ、curl-pipe-bashコマンドを実行するよう求めるフィッシングページです。防御は昔から同じ: 何をインストールするかに気をつけ、ターミナルに何を貼り付けるかに気をつけること。

まとめ

Macユーザーが本当に心配すべき疑わしいネットワーク活動は実在しますが、感じるよりまれです。説明のつかないトラフィックのほとんどはiCloud、Apple Push、同期アプリ、忘れたブラウザタブです。調査する価値のある信号は、慣れたプロセスからの未知の宛先、アップロードすべきでないアプリからの時間外アップロード、持続的再接続、異常なポート、launchdに現れる馴染みのないプロセスです。上の落ち着いたチェックリストは約10分でほとんどのケースを解決します。

何かおかしいと感じたとき遡れる受動的・継続的な気づきには、ovaをインストールしましょう——約3MB、macOS 14以降、Apple SiliconとIntel、約1Hzでサンプリング、すべてのデータがディスク上ローカルに留まる。ファイアウォールでもEDRでもなく——必要なときに利用可能な、アプリが何をしているかの明確なビューです。