MuMu Player(NetEase)がmacOSで30分ごとに17件のシステム偵察コマンドを無断実行

 (gist.github.com/interpiduser5)
1 ポイント 投稿者 GN⁺ 2026-02-22 | 1件のコメント | WhatsAppで共有
  • macOS向け MuMu Player Pro は実行中、30分ごとにシステム情報を自動収集し、ネットワーク・プロセス・アプリケーション・カーネルのデータを含む
  • 収集項目には、ローカルネットワーク機器一覧、実行中プロセス全体、インストール済みアプリのメタデータ、hosts ファイル、カーネルパラメータ などが含まれる
  • この情報は Mac のシリアル番号と SensorsData 分析プラットフォーム を通じて紐付けられ、デバイス識別に使用される
  • MuMu の プライバシーポリシーにはこうした収集行為が明記されておらず、エミュレーター機能の実行にも不要
  • 反復的かつ非公開のデータ収集により、透明性の欠如と潜在的なプライバシー侵害リスク が指摘されている

システムデータ収集の挙動

  • MuMu Player Pro は macOS 上で実行中、30分ごとに自動でシステム情報を収集する
    • 収集周期ごとに ~/Library/Application Support/com.netease.mumu.nemux-global/logs/ 配下にタイムスタンプ付きフォルダを生成
    • 各フォルダには 17 件のコマンド実行結果が保存される
  • 実行されるコマンドには arp -a, ifconfig, netstat, ps aux, sysctl -a, launchctl print system などが含まれる
    • ローカルネットワーク機器(IP・MAC)アクティブなネットワーク接続すべての実行プロセスと引数インストール済みアプリ一覧とメタデータカーネルおよびハードウェア情報 などが記録される
    • ps aux の結果は約 200KB に達し、使用中のアプリ・VPN・開発ツール・セキュリティソフトウェアの情報を含む
  • 各収集セッションは約 400KB のデータを生成し、1日平均 16 回実行される

収集データの内容

  • ネットワーク関連情報: arpAll.txt, ifconfig.txt, networkDNS.txt, networkProxy.txt, netstat.txt
  • システムおよびアプリ情報: listProcess.txt, listApplications.txt, mdlsApplications.txt, sysctl.txt, launchctlPrintSystem.txt
  • 環境設定情報: /etc/hosts ファイル、マウント済みファイルシステム、LaunchAgents/Daemons の一覧
  • MuMu API 接続テストのための curl コマンド結果も含まれる
  • 各セッションごとに collect-finished ファイルが生成され、収集成功の可否を記録する

プロセス一覧収集の問題点

  • ps aux コマンドにより すべてのプロセスの完全なコマンドライン引数 を収集する
    • 実行中のアプリケーション、VPN 設定、開発ツール、セッショントークン、ユーザーディレクトリのパス、セキュリティソフトウェア情報が露出する
    • 30分間隔で繰り返されるため、利用行動の時間帯別記録 が形成される

分析とデバイス識別

  • MuMu は 中国の分析プラットフォーム SensorsData を使用している
    • report/ ディレクトリには sensorsanalytics-com.sensorsdata.identities.plist ファイルが存在する
    • このファイルには $identity_mac_serial_id 項目として Mac ハードウェアのシリアル番号 が含まれる
  • sensorsanalytics-super_properties.plist には、アプリのバージョン、チャネル、UUID、UTM ソースなどのマーケティング属性が記録される
  • 約 86KB サイズのメッセージキュー(sensorsanalytics-message-v2.plist)がサーバーへ送信される

プライバシーポリシーとの不一致

  • MuMu Player Pro の 公式プライバシーポリシー には、次の項目が 明記されていない
    • ps aux, arp -a, /etc/hosts, sysctl -a, mdls などの実行
    • Mac のシリアル番号の収集
    • 30分周期の反復収集作業
  • したがって実際の挙動は、公開されたポリシーと 一致していない

結論

  • MuMu Player Pro は エミュレーター機能の実行に不要なレベルのシステム情報 を定期的に収集している
  • 収集データはネットワーク構成、プロセス一覧、インストール済みアプリ、DNS 設定、カーネルパラメータなどに及び、包括的なシステムプロファイル を形成する
  • SensorsData 分析とハードウェアのシリアル番号の組み合わせにより、継続的かつ詳細なデバイスフィンガープリント が生成される
  • こうした行為は 非公開かつ反復的 に行われており、少なくとも 透明性欠如の深刻な事例 と評価される

関連記事

1件のコメント

 
GN⁺ 2026-02-22
Hacker Newsの意見

  • こういう事件を見ると、中国製ビデオゲームが西側圏に拡散していることが心配になる
    子どもが Genshin Impact や Black Myth: Wukong を遊ぶことで、ローカルネットワークのデータが中国に送信されるかもしれないと思ってしまう
    西側政府がきちんと対応していれば、こういうものはすでに禁止されていたはずだ

    • Epic Games も Tencent が一部株式を保有しており、ランチャーにスパイウェアが含まれていたことがあった
      それでも「Tim Sweeney は Valve と Apple の独占を打ち破る英雄だ」という物語は、西側の技術メディアでいまだに人気がある
      関連リンク: Hacker Newsの議論, Redditの分析記事
    • 最近は**カーネルレベルのアンチチート(KLAC)**のせいでさらに深刻になっている
      こうしたシステムは、ネットワーク内部を探索したり権限昇格を狙ったりする者にとっては夢のような環境だ
    • 新作の Delta Force も中国で開発されており、アンチチート目的でハードディスク全体のスキャンを行うという
    • 「中国製ゲームがデータを抜き取る」という話に過敏になる必要はないと思う
      私は VLAN で分離し、ルーターでファイアウォールログを徹底管理している
      もちろん、そのすべてを中国製ルーターが安全に処理してくれると信じている
    • だから私は仕事用とゲーム用の PC を完全に分けて使っている
      VLAN やゲスト Wi‑Fi で隔離しても完璧ではないが、少なくともリスクを 75% ほど減らせる
      それでもインターネットに接続された高性能マシンは残るし、Bluetooth・Wi‑Fi による位置追跡のようなリスクは存在する
      結局のところ、国家レベルの侵入を防ぐのは個人には背負いきれない戦いだ

  • 私は中国企業のソフトウェアは常にサンドボックス内でしか実行しない
    モバイルでは Android/iOS の権限制限を活用し、デスクトップでは VM を使っている
    中国本土の大手テック企業には、ユーザーのプライバシー感覚がほとんどなく、データを売って収益化する構造になっている

    • 最近 iOS で SoundCloud アプリをインストールしたが、「954 のパートナーとデータを共有する」という文言が表示されて驚いた
    • モバイルでサンドボックスをどう実装するのかという質問が多い
      WeChat のようなアプリをインストールするたびに気持ち悪さを感じる
    • 今ではすべてのアプリを隔離すべきだと思う
      企業は見境なくデータを収集し、アプリが動作するには常時インターネット接続が必要だと主張する
      それでもファイアウォールで LAN へのアクセスを遮断すれば、ファイルアクセスは防げる
    • 「中国本土」ではなく「アメリカ本土」でも同じだという冗談も出る
    • 「Mainland」という単語を消しても文がそのまま成り立つ、つまりすべてのビッグテックが似たようなものだという皮肉だ

  • 中国企業が問題を起こすたびに、コメント欄では必ず「アメリカ企業も同じだ」という反応が繰り返される
    あまりに予測可能なパターン

    • なぜそういう反応が出るのか考えてみる必要がある
    • 実際、その話は事実でもある

  • 私は教育用ソフトウェアと VMware のリモート VM クライアントをMac のネイティブ VM内で動かしている
    他国でデータ収集が悪用される事例が出てきても驚かない
    Apple Security に報告して、RCE や C&C 攻撃かどうかを評価してもらうのがよさそうだ
    Apple が Discord のシステム全体のデータ収集を制限するよう促されることを望む
    ちなみに UTM.app は OS レベルのサンドボックスを利用して Discord を隔離できるので、悪くない選択肢だ

  • こういう事件は結局、「中国製ソフトウェア・ハードウェア = 倫理の欠如」というイメージを強める
    ユーザー情報を得るためなら、どんな手段も選ばないように思える

  • 状況は醜悪だと感じる
    それでも彼らはあらゆるものを収集すると明記はしている
    MuMu Playerプライバシーポリシー を見ればわかる
    世界がこんなふうになってしまった現実が、ただ悲しい

    • 「その他のネットワーク/技術情報」という表現は広すぎて、実質的に何でも含められる
    • それでも ps aux の出力まで収集するとは明記されていない

  • macOS はプライバシー重視だと言われるが、こうした挙動がいまだに許されていることに驚く
    アプリサンドボックスが任意なら意味がない

    • macOS はプライバシー中心ではなく、マーケティング中心
      「この機能を宣伝できるか?」が優先順位になっている
    • macOS をプライバシー重視 OS と呼ぶ人はほとんどいない
      iOS ならともかく、macOS はそうではない

  • NetEase 製のモバイルゲームをインストールするたびに気が重くなる
    とくに Dead by Daylight のモバイル版でそうだった
    Persona 5X は NetEase の作品ではないが、それでもなお気持ちが悪い
    Android なので収集が制限されることを期待しているが、完全な隔離の方法があるのか気になる

    • GrapheneOS や Calyx のようなセキュリティ重視 OSを検討してみてはという助言を受けた
    • あまり気にせず、ただゲームを楽しめばいいという意見もある

  • こういうスパイウェアを作った人間は、最低でも 10 年以上の禁錮刑を受けるべきだと思う
    関連する CEO たちも責任を負うべきだ

  • 昔はみんな「Little Snitch」のような個人向けファイアウォールを使っていて、こうした挙動を目で確認できた
    今は OS のセキュリティ機能をあまりに盲信しすぎているのではないかと思う