ova
ブログに戻る
·9分で読める·productdevbook

macOS Sonomaのネットワークプライバシー変更点

macOS Sonomaのネットワークプライバシー変更を実用的にまとめ、通信量を観測したりトラッカーをブロックしたりするツールへの影響を解説します。

  • macOS Sonoma
  • macOS
  • Privacy
  • Network monitoring

macOS Sonomaは、ほとんどレーダーをかいくぐった少数のネットワークプライバシー変更を伴って出荷されました——一部はAppleがプライバシーを大づかみに語るからで、一部はパワーユーザーにとって最も関連する変更がネットワーク拡張の挙動、ランダム化アドレス、OSがVPNやコンテンツフィルタをどう扱うかに埋め込まれているからです。Venturaからアップグレードして、VPNが妙な挙動を見せたり、キャプティブポータルがおかしくなったり、インストールした覚えのないアプリがネットワークログに現れたりしているなら、おそらくこれが理由です。

本稿は、実際に重要だったmacOS Sonomaのネットワークプライバシー変更点、Sequoiaに引き継がれたもの、そして各項目に対してできることの実用リストです。文書が薄いか挙動が不透明な箇所では、推測ではなくその旨を明記します。

プライベートWi-Fiアドレスの改善

Appleはランダム化MACアドレス(プライベートWi-Fiアドレス)を以前のmacOSバージョンで導入しましたが、Sonomaは重要な点で実装を引き締めました。

何が変わったか

  • ネットワークごとのローテーション挙動。 Sonomaは各ネットワークに独自のランダム化アドレスを与え、同じネットワークへの再接続を通じてそのアドレスを安定させることに対し、より一貫しています。
  • ハードウェア予約の扱い。 MACベースのDHCP予約や通信量上限を使うネットワークは、アドレスがセッション中に回転するのではなくネットワークごとに永続するため、より予測可能に振る舞うようになりました。

何が壊れるか

一部のキャプティブポータル——ホテル、カンファレンスセンター、コーヒーチェーンで見るような——は依然としてMACアドレスでセッションや通信量クォータを追跡します。ランダム化アドレスがオンだと、想定より頻繁に再認証が必要になることがあります。キャプティブポータルにバグがあるネットワークでは、その特定のネットワークでプライベートWi-Fiアドレスを無効にしないと認証できないこともあります。

他所のプライバシーを失わずに修正する方法

システム設定 → Wi-Fi → 該当ネットワークをクリック → 詳細 → プライベートWi-Fiアドレス。ネットワークごとにオフにできるので、使う他のすべてのネットワークではランダム化を維持できます。グローバルに無効化しないこと——壊れている1つのキャプティブポータルだけで無効化しましょう。

ネットワークフィルタAPIの調整

SonomaはNetworkExtensionフレームワークを調整しました——Little Snitch、LuLu、企業向けエンドポイントセキュリティツールなどがトラフィックの検査やフィルタリングに使うものです。

何が変わったか

  • コンテンツフィルタがシステムトラフィックとどう相互作用するかの扱いがより厳格に
  • 一部のプライベートAPI表面が削除または制限された
  • フィルタプロバイダは新しい挙動に合わせて更新が必要だった。一部は遅れた

気づいたかもしれないこと

  • お気に入りのネットワークフィルタがアップグレード後に更新を促してきたか、完全に動かなくなった
  • フィルタを更新するまでDNS解決が妙に振る舞った
  • 複数のネットワーク機能拡張をインストールしたマシンでパフォーマンスが一時的に劣化した

主要フィルタツールの最新版を動かしているなら、これはほぼ過去の話です。「まだ動くから」と古いバージョンを抱え込んでいるなら、それがSonomaで断続的なネットワーク問題の原因かもしれません。

システム拡張の挙動

システム拡張——カーネル拡張のモダンな代替——は、Sonomaで承認フローが厳しくなりました。特にネットワークトラフィックを扱うものについて。

何が変わったか

  • ネットワークトラフィックをフィルタしたい拡張に対するより明示的なユーザー承認プロンプト
  • 拡張のアップグレードは時に黙って前進するのではなく再承認を必要とする
  • 「次の30分間許可」フローがより目立つ

実用上の含意

SonomaでVPNクライアントやファイアウォールをアップグレードした後、システム設定 → 一般 → ログイン項目と機能拡張を経由するまで突然何も動かなくなった理由はこれです。1度は煩わしくとも、永遠に価値ある体験——あなたは今、何があなたのトラフィックを傍受しているかを正確に知ることになります。

フィルタではなくモニター
ovaは受動的な通信量モニターです——トラフィック会計を読み、ネットワークフィルタやシステム拡張を登録しません。承認プロンプトなし、カーネルフックなし、VPNを壊す可能性なし。ディスク約3MB、署名・公証済み。

DNSとリゾルバのプライバシー

SonomaはDNSプライバシーを強化する流れを継続しました。実用上いくつかの含意があります。

すでにあったもの

  • iCloudプライベートリレー(加入時)はSafariのトラフィックの大半を2つのリレー経由でルーティングし、どちらもあなたのIPと宛先の両方を見られないようにする
  • システムプロファイル経由で構成可能な暗号化DNS(DoH/DoT)

知っておく価値のあること

  • カスタムDNSリゾルバ(1.1.1.1、NextDNS、自前のPi-hole)を使っているなら、Sonomaはネットワーク変更をまたいでより信頼できるようにそれを尊重する
  • システムリゾルバを使うアプリは自動的にDNS選択を継承する
  • 独自のDNSクライアントを同梱するアプリ(一部のブラウザ、一部のチャットアプリ)は設定を迂回し、ネットワークフィルタなしには強制する方法がない

最後の点こそ、DNSをよく構成していてもアプリ別通信量ビューが重要な理由です: アプリが期待する接続をしているかを知る唯一の方法は、それが実際に何を送っているかを観察することです。

アプリがネットワーク上で実際に何をしているかを確認

ovaはヘルパープロセスを親の下に折りたたんでアプリ別通信量を表示します。ローカル限定、テレメトリなし、アカウントなし、約3MB。

macOS用ダウンロード

ローカルネットワークアクセスのプロンプト

これがほとんどのユーザーが実際に気づいた変更です。Sonomaは、アプリがWi-Fi上の他のデバイスを発見しようとするときの「ローカルネットワーク」アクセスのプロンプトを積極的にしました。

対象となるもの

  • mDNS / Bonjour発見
  • SSDP(ストリーミングレシーバや一部のスマートホーム機器が使用)
  • ローカルIPレンジへの直接接続

表示されるもの

「Xアプリはローカルネットワーク上のデバイスを見つけて接続したい」というプロンプト。正当に必要とするアプリ(SpotifyのAirPlayレシーバ発見、IDEのテストデバイス発見)には許可しても問題ありません。必要としないアプリには拒否で問題ありません。

後で確認・取り消しできます: システム設定 → プライバシーとセキュリティ → ローカルネットワーク。

Sequoiaに引き継がれたもの

Sonomaの変更のほとんどは、軽微な改良とともにmacOS Sequoiaへ引き継がれました:

  • ネットワークごとのプライベートWi-Fiアドレスのローテーション: 健在、引き続き既定でオン推奨
  • 引き締められたNetworkExtension API表面: 健在、さらなる改良あり
  • システム拡張の承認フロー: 健在、同じUIパターン
  • ローカルネットワークアクセスプロンプト: 健在、システム設定で同じアプリ別取り消し

SonomaをスキップしてVenturaから直接Sequoiaへ行ったなら、これらすべてに初めて一度に遭遇することになります。上述の修正と習慣はすべて当てはまります。

正直に不透明なもの

確定的に知っているとは言えないものをいくつか:

  • プライベートWi-Fiアドレス生成の正確なアルゴリズム。 Appleはローテーションポリシーとポイントリリース間の変化を完全には文書化していない。
  • 低電力条件下でのバックグラウンドアプリのネットワーク挙動。 macOSはさまざまな条件下でバックグラウンドトラフィックを優先度を下げますが、正確な閾値は非公開。
  • NetworkExtension API変更の完全リスト。 Appleのリリースノートは部分的。実際の変更はサードパーティツールが壊れて開発者が投稿したときに発見される。

これらのいずれかについて正確な詳細を主張する自信たっぷりのブログ記事を読んだら、Apple文書を引用していない限り情報に基づいた推測として扱いましょう。

今日取るべき実用的なmacOS Sonomaネットワークプライバシー対策

Sonomaユーザー向け(あるいはSequoiaユーザー向け、ほとんど引き継がれているので):

  1. インストール済みのネットワーク機能拡張を監査する。 システム設定 → 一般 → ログイン項目と機能拡張 → ネットワーク機能拡張。何があるか把握し、見覚えのないものは削除する。
  2. ローカルネットワーク許可を見直す。 システム設定 → プライバシーとセキュリティ → ローカルネットワーク。必要としないアプリは取り消す。
  3. ネットワークごとのプライベートWi-Fiアドレスを確認する。 自宅でオン、ほとんどのネットワークでオン、認証が壊れる特定のキャプティブポータルでのみオフ。
  4. アプリ別通信量モニターを動かす。 これは、アプリが以前はしなかった接続を始めたときに気づくための方法です。

4番目は多くの人が飛ばすところです。プライバシー制御は可視性と組み合わせるときに最も役立ちます。macOSは多くのトグルを与えてくれますが、アプリが実際に何を送っているかの良いビューは与えてくれません。それがovaが埋めるギャップです——受動的でメニューバー常駐の通信量モニター、アプリ別のライブレートと履歴を、ヘルパーを親アプリの下に折りたたんで表示し、約1Hzでサンプリング、クラウド依存なし。

まとめ

macOS Sonomaのネットワークプライバシーの話はほとんどが増分的で、ほとんどがよく、ほとんどが何かが壊れるまで見えません。実際に起きる破損は次のようなものに由来する傾向があります:

  • 新しいAPIに更新しなかった古いVPN/ファイアウォールバージョン
  • ランダム化MACアドレスをうまく扱えないキャプティブポータル
  • 以前は黙ってローカルネットワークにアクセスしていたが今は尋ねる必要があるアプリ

各ケースの修正は5分の設定監査であって、再フォーマットではありません。最近アップグレードしてネットワークが「ちょっとおかしい」と感じたなら、おそらくこれらのいずれかにつまずいたのでしょう。上の実用リストを通り、ovaや同等の受動的モニターをインストールしてマシンが何をしているかを見える化すれば、ネットワーク体験は通常元に戻ります。macOS 14以降は、ovaを含むモダンなものなら何でもよくサポートされます——ディスク約3MB、Apple SiliconとIntelで動作、すべてのデータがローカルに留まります。