Macのパソコンでこのような不満を感じたことはないだろうか。

• アプリケーションはメニューバーに表示されますが、ログイン入力には表示されません。
• Safariは、アドウェアサイトにリダイレクトしたり、ホームページを勝手に変更したりすることがあります。
• 未知のプロセスはバックグラウンドでCPUを消費する。

残念ながら、このような予期せぬ事態に対しては、ログインエントリからアプリケーションを削除するだけでは解決しません。潜在的に多くの隠されたコンポーネントがあり、Appleは典型的なmacOSのインターフェイスでそれらを公開しません。

Mac特有の問題を解決するために、これらの隠されたログイン項目を監視し、対策を講じる方法をご紹介します。

macosの起動ルーチンを理解する

電源ボタンを押すと、Macはおなじみの一連のイベントを開始します。

• 起動音が鳴ります（新しいMacでは鳴りません）。
• プログレスバーとともに、アップルロゴが表示されます。
• 終了すると、ログイン画面が表示されます（自動ログインが有効な場合は、デスクトップが表示されます）。

その裏側で、macOSは起動処理を開始します。システムや個々のユーザーアカウントなど、他のすべてのプロセスの起動、停止、管理を担当します。このプロセスは高度に最適化されており、わずか数分で完了します。

これを自分で確認するには、「アクティビティモニタ」アプリケーションを開き、「表示」 > 「すべてのプロセス」を選択します。一番上には、kernelu taskとlaunchdという2つのメインプロセスがあり、それぞれプロセスID（PID）が0と1になっています。

これは、launchdがシステム起動時の主な親プロセスであり、システム終了時に最後に終了するプロセスであることを示します。

launchdの主な役割は、他のプロセスやジョブをスケジュールまたはオンデマンドで起動することです。launchdaemonとLaunchAgentsの2種類があります。

デーモン***とローンチエージェントの起動は何ですか？

起動デーモンは通常、ユーザーがログインしているかどうかにかかわらず、rootユーザーとして実行されます。GUIで情報を表示し、システム全体に影響を与えるような使い方はできない。

例えば、locationdプロセスはMacの地理的な位置を検出し、BluetoothプロセスはBluetoothを管理する。デーモンの一覧は、以下の場所にあります。

• /System/Library/LaunchDaem*** macOSネイティブプロセス用
• /Library/LaunchDaem*** インストールされたサードパーティアプリの場合

ユーザーがログインするとエージェントが起動します。デーモンとは異なり、ユーザーインターフェースにアクセスし、情報を表示することができる。例えば、カレンダーアプリケーションは、ユーザーのカレンダーアカウントのイベントを監視し、イベントが発生したときに通知することができます。代理店一覧は、以下の場所にあります。

• /Library/LaunchAgents すべてのユーザーアカウント用
• ~/Library/LaunchAgents 特定のユーザーアカウント用
• /システム/ライブラリ/LaunchAgents macOS用のみ

ログインする前に、launchdはLaunchDaem***フォルダからPLISTファイルで指定されたサービスやその他のコンポーネントを実行します。ログイン後、launchd は LaunchAgents フォルダ内の PLIST ファイルで定義されたサービスやコンポーネントを実行します。System/Libraryにあるものは、macOSの一部であり、システムの完全性によって保護されています。

プリファレンスファイルは、標準的なリバースドメインの命名方式に従います。会社名で始まり、アプリケーションの識別子が続き、プロパティリストファイルの拡張子(.PLIST)で終わります。例えば、at.obdev.LittleSnitchHelper file.plist は、LittleSnitchアプリケーションのヘルプファイルです。

起動デーモンと起動エージェントをキャプチャする方法

システムフォルダ内のフォルダとは異なり、公開されているLaunchDaemonフォルダとLaunchAgentフォルダは、合法・違法を問わず、アプリケーションに公開されています。これらのフォルダーは、Folder Actions を使って自動的に監視することができます。

SpotlightでAppleScript Editorアプリケーションを検索して開きます。環境設定」をクリックし、「一般 >メニューバーにスクリプトメニューを表示する」を選択します。

スクリプト」メニューアイコンをクリックし、「フォルダアクション」 > 「フォルダアクションを有効にする」を選択します。次に、同じメニューで「スクリプトをフォルダに添付」を選択します。

ここから、add-new item alertを選択します。

OKをクリックすると、Finderウィンドウが表示されます。ここで、userlaunchdaemonフォルダ（上記）を選択し、[選択]をクリックします。

各LaunchAgentsフォルダに対して、上記の手順を繰り返します。

終了したら、Finderを開き、Go> Go to Folderをクリックするか、Shift+Cmd+Gを押して、ナビゲーションダイアログボックスを開きます。~/Library/LaunchAgentsと入力し、[Go]をクリックします。

LaunchAgentsフォルダーを右クリックし、Services> folder Acti*** Setupを選択して、新規プロジェクトの警告スクリプトを各フォルダーにバインドします。

ポップアップダイアログボックスでは、左列にフォルダー、右列にスクリプトのリストが表示されます。スクリプトが表示されない場合は、プラスボタンをクリックして、alerts.scptに新しい項目を追加してください。

これらのフォルダーを監視するためにアプリケーションを使用することを検討してください

これらのフォルダーにアラート用の追加オプションを提供したい場合は、サードパーティのツールを使用してみてください。

eTracheckは、サードパーティのブートデーモンやブートエージェントのロード状態などを表示するmacOS診断ツールです。eTracheckを実行すると、お使いのMacに関するさまざまな情報を収集し、これらの情報を見やすいレポートにまとめて表示します。また、アドウェア、疑わしいデーモンやエージェント、署名のないファイルなどに対処する際のヘルプオプションも追加で提供されます。

eTracheckを開き、"スキャン "をクリックします。この作業は数分かかりますが、完了すると、お使いのコンピュータの完全な概要が表示されます。これには、メジャーおよびマイナーな問題、ハードウェアの仕様、ソフトウェアの互換性問題、ブートデーモンおよびブートエージェントの状態などが含まれます。

このアプリは、最初の5レポートは無料で、その後、継続して使用するには10ドルのアプリ内購入が必要です。

LingonXも、スケジュールに従って自動的にアプリケーションやスクリプトを起動したり、コマンドを実行したりすることができるツールです。また、すべてのLaunchDaem***フォルダとLauchAgentsフォルダをバックグラウンドで監視し、変更があった場合に通知を表示することができます。すべての項目をグラフィカルに表示し、必要に応じて調整することができます。

このツールは****から入手可能で、フルライセンスは15ドルです。

スタートアップデーモンとスタートアップエージェントの削除方法

public/Library/LaunchAgentsおよび/Library/LaunchDaem***フォルダは、正規および非正規のアプリケーションによる攻撃を受ける可能性があるため、注意が必要です。正規のアプリケーションがマーケティング目的で使用することもあれば、違法なアプリケーションがデータの窃取やシステムへの感染に使用することもあります。

アドウェアやマルウェアが成功するためには、各ユーザーのセッションに永続的に存在する必要があります。これを行うために、マルウェアやアドウェアの作者は悪意のあるコードを作成し、LaunchAgentまたはLaunchDaemonフォルダに配置します。Macが起動するたびに、launchdは悪意のあるコードを自動的に実行するようにします。これを防ぐためのセキュリティ・アプリケーションに感謝します。

Macのセキュリティアプリを利用する

フリータップの原理は根強い。永続的にインストールされるアプリケーションとそのコンポーネントを、整然としたインターフェースで一覧表示します。スキャンボタンをクリックすると、KnockKnockはマルウェアが存在する可能性のある既知の場所をすべてスキャンします。

左側のペインには、永続的なアプリケーションのカテゴリ、名前、簡単な説明が表示されます。任意のグループをクリックすると、右ペインに項目が表示されます。例えば、左ペインの LaunchItems をクリックすると、すべての LaunchAgent と LaunchDaemon が表示されます。

各行には、アプリケーションに関する詳細な情報が記載されています。これには、署名済みか未署名の状態、ファイルパス、VirusTotalによるアンチウイルススキャンの結果などが含まれます。

Objective Seeが提供する無料のセキュリティアプリケーション「BlockBlock」も、永続的な位置情報を継続的に監視しています。このアプリケーションはバックグラウンドで動作し、マルウェアがmacOSに永続的なコンポーネントを追加するたびにアラートを表示します。

しかし、すべてのサードパーティ製 PLIST ファイルが悪意あるものであるとは限りません。

• インストールされているアプリケーションの構成要素
• 使わなくなった古いアプリケーションの残骸
• 以前のmacOSアップグレードに起因するレガシーな問題
• マイグレーションアシスタント残り
• PUPs（潜在的に不要なプログラム）、アドウェア、マルウェア。

インストールされているアプリケーションのコンポーネントは削除しないでください。ただし、古いアプリケーションの残骸や、以前のmacOSのアップグレードで残った部品を削除しても、まったく問題ありません（それらのアプリケーションを使い続けたい場合は別です）。

これには独自のアンインストール作業はなく、PLISTファイルを破棄して再起動するだけです。または、デスクトップにカット＆ペーストして、コピーを取れるようにしておくと安心です。システムのLaunchAgentsフォルダやLaunchDaem***フォルダは、macOSがスムーズに動作するために必要なものなので、削除しないでください。

アドウェアとパピーは、よく知られた対処の課題です。いつでもMalwarebytesの無料版を実行することができます。追加の保護が必要な場合は、Malwarebytes Premiumへのアップグレードを検討してください。

Macにおける起動時の脅威に対する慎重な対応

これらのステップを踏めば、新たな脅威を事前に察知し、問題に対処することができます。アドウェアやパピーが流行し、新しいマルウェアの亜種があちこちに出現しています。

macOSには、あなたの安全を守るためのさまざまな工夫が施されているのがありがたい。

これらのフォルダーを監視し、頻繁に診断チェックを行うことがコツです。疑わしい場合は、Googleで潜在的な悪意のあるプロセスの名前を検索してください。しかし、Macコンピュータをマルウェアに感染させる間違いを避ければ、心配する必要はありません。