技術 約5分で読めます

信頼の崩壊:Googleエンジニア起訴とMuMuプレイヤーの偵察コマンド問題

セキュリティ プライバシー インサイダー脅威 macOS Google

同じ週に、性質の異なる2つの事件が出てきた。元Googleエンジニアによる機密の国外転送と、NetEase製Androidエミュレーターによるユーザーシステムの偵察だ。

元Googleエンジニア3名、Tensorチップの機密をイランへ転送した疑いで起訴

元Google社員2名とその夫の計3名が、Googleなどから企業秘密を盗み出しイランへ転送した疑いで米国の連邦大陪審に起訴された。テック企業を標的とした国家関与型インサイダー脅威の重大事例として注目されている。

被疑者とその関係

起訴されたのは以下の3名で、いずれもイラン国籍、カリフォルニア州サンノゼ在住だった。

  • Samaneh Ghandali(41歳): 元Googleエンジニア
  • Soroor Ghandali(32歳): Samanehの妹、同じく元Googleエンジニア
  • Mohammadjavad Khosravi(40歳): Samanehの夫、別のテック企業に勤務

何が持ち出されたか

GoogleのTensorプロセッサ(Pixelシリーズ搭載のカスタムチップ)に関する「プロセッサセキュリティ・暗号化および関連技術」に関する機密情報が対象となった。Samanehは数百のファイルをサードパーティのメッセージングプラットフォーム経由で転送したとされている。

別のテック企業(“Company 2”)の機密についても、Samanehは2023年12月にイランへ渡航する前、モバイルで約24枚の写真を撮影して持ち出したとされる。

スクリーン写真という手口

興味深いのは持ち出し手法だ。通常のファイルコピーや外部ストレージ転送ではなく、PCの画面を物理的にスマートフォンで撮影するという方法が取られた。DLPツール(情報漏洩防止システム)やログ監視をかいくぐる意図だった。

証拠隠滅の手口も周到で、端末から持ち出したファイルを削除し、通信記録の消去方法をネット検索し、虚偽の宣誓供述書を提出したとされている。

訴追内容と刑罰

3名は以下の罪で起訴されている。

  • 企業秘密窃取の共謀
  • 企業秘密の窃取および窃取未遂
  • 司法妨害

企業秘密窃取は1件あたり最高10年の禁固と25万ドルの罰金。司法妨害は最高20年の禁固と25万ドルの罰金が科される可能性がある。

スクリーン撮影はDLPで防げない

企業のセキュリティ対策は電子的な情報転送の監視に集中している。画面を物理的に撮影されたら、ログには何も残らない。ゼロトラストもDLPも、物理カメラの前では無力だ。対策はスマートフォン持込禁止エリアやクリアデスクポリシーなど物理施策に限られる。

被疑者3名が全員イラン国籍で家族関係にあった点も厄介だ。TensorチップはPixelシリーズの差別化の核で、その設計情報が国外に出るのは競争上の直接的な打撃になる。

参照: Three Former Google Engineers Indicted

NetEase MuMu Player、macOSで30分ごとに17種の偵察コマンドを実行

Androidエミュレーターを使っていたら、バックグラウンドで自分のPCが丸裸にされていた。そんな調査結果がGitHub Gistで公開され、話題になった。NetEase製のAndroidエミュレーター「MuMu Player Pro」がmacOS上で30分ごとに17種類ものシステム偵察コマンドを実行していたというものだ。

何が起きていたか

MuMu Player ProはmacOS上で定期的に以下のようなシステムコマンドを実行していた。

ネットワーク情報の収集:

  • arp -a: ローカルネットワーク上の全デバイスのIPとMACアドレス一覧
  • scutil --dns: DNS設定
  • scutil --proxy: プロキシ設定
  • /etc/hosts: カスタムドメインや開発環境の設定

プロセスとソフトウェア:

  • ps aux: 実行中の全プロセスとその完全なコマンドライン引数
  • ls -laeTO -@ /Applications/: インストール済みアプリのメタデータ
  • mdls /Applications/*.app: Spotlightのアプリ情報

システムの詳細:

  • sysctl -a: カーネルパラメータ全体(約60KB)
  • launchctl print system: 全システムサービス(約64KB)
  • mount: マウント済みファイルシステム情報

これらが組み合わさると、対象PCの構成をほぼ完全に把握できる。

ps auxが特に問題

17コマンドの中でもps auxは特に危険度が高い。実行中の全プロセスのコマンドライン引数が丸ごと取れるため、以下のような情報が露出する。

  • VPNの利用状況と接続先
  • 開発環境の構成(使用ツール、ディレクトリ構造など)
  • セッショントークンや認証情報を含むコマンドライン引数
  • セキュリティソフトウェアの使用状況

たとえば./my-server --api-key=XXXXのように認証情報をコマンドライン引数で渡しているプロセスがあれば、それが取得される。開発者のマシンではこの手の引数渡しが日常的に使われている。

SensorsDataによるフィンガープリント

さらに調査では、MuMu PlayerがSensorsData(中国のアナリティクスプラットフォーム)を使用していることも確認されている。収集するデバイスフィンガープリントにはMacのシリアル番号が含まれているという。シリアル番号はAppleの修理・サポートシステムとも紐付いており、個人特定につながりうる情報だ。

プライバシーポリシーでの開示はない

問題はこれらの活動がプライバシーポリシーに記載されていない点だ。また、Androidエミュレーターとしての本来機能にsysctl -aarp -aが必要な理由は説明がつかない。Androidアプリを動かすためにホストのネットワーク上の全台のMACアドレスを取得する必要はない。

MuMu Playerは特に日本でも普及しているゲーム向けAndroidエミュレーターで、原神やブルーアーカイブなどのスマートフォンゲームをPCでプレイするために使われることが多い。セキュリティ意識が高いユーザーだけでなく、一般のゲームプレイヤーのPCも対象になっている。

対応と確認方法

現時点でNetEaseからの公式な声明は確認されていない。本問題を避けたいユーザーへの現実的な選択肢は、MuMu PlayerをアンインストールするかVMやDocker環境に隔離して実行することだ。

macOSの場合、以下のコマンドでMuMuに関連するアクティビティを確認できる。

launchctl list | grep -i mumu
lsof -c mumu

Androidエミュレーターはシステムレベルの権限で動く。出所が怪しいエミュレーターをホストOSに直接入れるのは、管理者権限ごと渡しているようなものだ。

参照: 調査Gist