2018年のmacOS Mojaveの初期段階では、Appleはユーザーが時間帯に応じてダークモードとライトモードを自動的に切り替える機能を提供していませんでした。いつものように、サードパーティの開発者たちがこの問題を解決しようと躍起になりました。この問題を解決したナイトモードアプリの中で、特に評価の高いものの一つが、2018年半ばに初めてリリースされたNightOwlです。これは、日常的な使用時にバックグラウンドで実行できるシンプルなユーティリティを備えた小型アプリです。
2021年にはmacOSの公式機能が追加され、「Night Shift」ダークモードが有効化され、多くの古いMacでNightOwlアプリは見捨てられ、忘れ去られました。数万人とされるユーザーのうち、古いMacのバックグラウンドで実行していたアプリが別の企業に買収されたことに気づいた人はほとんどいなかったでしょう。また、今年初めにその企業がダークモードアプリを密かにアップデートし、ユーザーのマシンを乗っ取ってIPデータを影響を受けたコンピューターのサーバーネットワーク(いわゆるボットネット)に送信したことにも気づいた人はほとんどいなかったでしょう。
6月のアップデート後、一部のユーザーからアプリの不具合が報告された後、ウェブ開発者のテイラー・ロビンソン氏は、プログラムがユーザーのコンピューターへの接続を通知なしにリダイレクトしていたため、問題が深刻であることを発見しました。真のダークモードは、評判の良いMacアプリをデータ収集者の遊び場へと変貌させたものでした。
ギズモードへのメールで、ロビンソン氏はアプリに関する独自の調査結果を詳しく説明しました。調査の結果、NightOwlはユーザーのコンピュータを一種のボットネットエージェントに変えるランチャーをインストールし、そのデータを第三者に販売することが判明しました。6月13日にリリースされたNightOwlのアップデート版0.4.5.4は、ユーザーの直接の通知や同意なしにローカルHTTPプロキシを実行すると彼らは述べています。NightOwlが何かが起こっていることをユーザーに伝える唯一のヒントは、ダウンロードボタンを押した後に表示される同意通知で、アプリが匿名化されたトラッキングとバグの報告のためにGoogle Analyticsを使用しているというものです。ボットネット設定はアプリから無効にすることはできず、Macに加えられた変更を削除するには、ユーザーはMacのターミナルアプリでいくつかのコマンドを実行し、システムからコードの痕跡を消去する必要があるとロビンソン氏は語っています。
悪意のあるコードと思われるものによってどれだけのユーザーが影響を受けたのかは、現時点では不明です。特にNightOwlはウェブサイトとアプリストアの両方で利用できなくなっているためです。NightOwlのウェブサイトによると、アプリは14万1000回以上ダウンロードされ、2万7000人以上のアクティブユーザーが利用していたとのことです。Appleが新しいダークモードソフトウェアを導入したことで、アプリのユーザーの大部分が失われたとしても、古いMacでNightOwlを実行していたユーザーは数千人いた可能性があります。
ロビンソン氏がこのアプリを破壊的マルウェアと呼ぶ報告書を発表した数日後、ナイトオウルは自社サイトに次のようなコメントを掲載しました。「当社のアプリにはいかなる種類のマルウェアも含まれていません。ご指摘いただいた懸念は誤認に基づくものであり、当社はすべての主要ウイルス対策企業と積極的に協力し、この状況を速やかに是正いたします。」
同社が「すべての主要ウイルス対策企業」とは何を指し、アプリをどのように変更する予定なのかは不明だ。ロビンソン氏は、ボットネット接続がMacのメインユーザーアカウントで強制的に実行され、ユーザーがデバイスを起動すると起動するため、このアプリは匿名性を維持することを目的として作られているようだと指摘した。このウェブ開発者が奇妙なトラフィックに初めて気づいたのは、別の用件でネットワークトラフィックを分析していた時だった。そのトラフィックはすべて、自分のコンピューターから、これまで聞いたことのないサイトへと流れていたのだ。確かに、他の明らかなボットネットスキームは広告収入を狙っているかもしれないが、ユーザーデータの販売が一般的に行われているとはいえ、ほとんどのアプリは、ユーザーがデバイスを開くたびに起動するソフトウェアを強制的にインストールする必要はない。
しかし、NightOwlの所有者は、マルウェアのような動作を組み込んだ最新アップデートをリリースする前に、利用規約ページに注意事項を掲載しており、同社がこのボットネット動作を組み込む計画があったことは明らかです。GizmodoはNightOwlアプリの所有者に複数回連絡を取りましたが、返答はありませんでした。しかし、現在アプリを所有しているグループはHowtoGeekに回答し、次のように述べています。
NightOwlの収益化のため、信頼できる住宅プロキシサービスと提携しました。アプリのバックエンドに同社のSDKを追加し、パートナーのユーザーがNightOwlユーザーのIPアドレスを通じてリクエストを送信できるようにしました。なお、収集するのはユーザーのIPアドレスのみであり、その他のユーザーデータは一切収集していません。この点は利用規約に記載しています。
一部のユーザーから強い懸念の声が寄せられていることを受け、この機能を無効化できるオプションの提供に取り組んでいます。アプリを再リリースできる場合は、このSDKを完全に削除するか、簡単に無効化できるオプションを提供する予定です。ご不便とご心配をおかけしたことをお詫び申し上げます。
ロビンソン氏はギズモードに対し、同社がボットネットを通じてIPアドレス以外の情報を収集したことを示す証拠は何もないと語りました。しかし、アプリ所有者は「可能な限り」痕跡を隠そうとしていたとロビンソン氏は付け加えました。ロビンソン氏によると、アプリ所有者はバックグラウンドのボットネットサービスを「AutoUpdate」と名付けており、NightOwlがインストールされたコンピューターが起動するたびにリダイレクトソフトウェアが起動していたとのことです。
ロビンソン氏によると、このアプリは自動アップデートによってユーザーのコンピューターがユーザーのデータの収集源となることをユーザーに通知していなかったという。5年前のアプリに変更が加えられた唯一の手がかりは、6月にNightOwlの利用規約ページに追加された文言だった。利用規約には、このアプリはユーザーのコンピューターを「ゲートウェイ」として機能させ、インターネットトラフィックを第三者と共有することを強制すると記されている。さらに、このアプリはユーザーのデバイスのネットワーク設定を変更し、デバイスは「ウェブ調査、市場調査、SEO、ブランド保護、コンテンツ配信、サイバーセキュリティなどを専門とする企業を含むNightOwlアプリのクライアントのゲートウェイとして機能する」と記されている。
アプリをApple App Storeで公開するために必要な署名証明書が失効し、ユーザーはアクセスできなくなりました。失効させたのがApple自身なのか、それともアプリ開発者自身なのかを確認するため、Appleに問い合わせましたが、回答はありませんでした。
MacにNightOwlアプリがインストールされている場合は、すぐに削除してください。Robinson氏のブログには、デバイスからアプリを削除するために必要なターミナルコマンドが詳しく記載されています。
NightOwlは買収され、トロイの木馬に変わった
オリジナルのNightOwlアプリは、ドイツ人開発者ベンジャミン・クラムサー氏によって2018年に開発されました。彼自身のウェブサイトで説明されているように、クラムサー氏がNightOwlを開発したのは、macOS Mojaveのダークモードに「ユーザビリティ上の問題」があったためです。リリース後、彼のアプリを称賛する好意的な記事やYouTube動画が数多く投稿されました。
2020年後半にリリースされたNightOwlのバージョン0.3.0は、Kramser氏がメイン開発者として署名していました。2年後、新しいバージョン0.3.0がApp Storeに登場しました。Robinson氏が共有したデータによると、この新しいバージョンのアプリは別の人物であるMunir Ahmed氏によって署名されていました。このバージョンのアプリでは新しいバックエンドSDKが追加されましたが、Robinson氏が後に指摘したボットネットはまだ存在していませんでした。
クラムサー氏が自身のサイトに投稿したメッセージによると、2022年11月、TPE.FYI LLCとして登録されている企業がこのアプリを買収した。この企業はKeeping Tempoという社名で上場した。既存の記録によると、同社は元販売ソフトウェア開発者数名によって設立され、チケットマスターのような音楽業界におけるチケット価格の独占を打破するアプリを開発するという崇高な目標を掲げていた。Keeping TempoはCEOのジャロッド・スターリング氏が率い、テキサス州オースティンに本社を置いていた。しかし、OpenCorporatesの公開データによると、このLLCに関する最新情報は、フランチャイズ税の申告を怠ったため、今年初めに活動を停止したというものだ。
Keeping Tempoが完全に消滅したのか、また現在その名前でどのような企業が運営されているのかは不明です。ユーザーは、Robinson氏が記録したボットネットを構築した6月のNightOwlアップデートの際に、ファイルに「TPE-FYI, LLC」という名称が含まれていたことを発見しました。新しいオーナーが就任したにもかかわらず、NightOwlのサイトには、アプリ開発に関するKramser氏の発言や、NightOwlの機能を称賛した2018年の記事へのリンクが依然として掲載されています。
NightOwlのユーザー1人が、アプリが削除される前にKramser氏のTwitterでボットネットの活動について質問しました。開発者はアプリの変更については何も知らないと述べ、NightOwlの活動について開発会社に問い合わせる予定だと付け加えました。GizmodoはTwitterのダイレクトメッセージでKramser氏に連絡を取りましたが、開発者は自身のウェブサイトに掲載した内容と同じ声明を繰り返しました。彼はウェブサイトで、アプリの運用維持に「時間的な制約」があったため、昨年会社を売却したと主張しました。GizmodoのNightOwlアプリの現在の所有者に関する質問には回答しませんでした。
「この決定は、新しい(Pro)機能とサブスクリプションモデルの導入を前提としていました」とクラムサー氏は述べた。「残念ながら、『TPE.FYI LLC』はサードパーティのSDKを統合することでアプリを収益化することを選択しました。この決定は私とは一切関係がなく、いかなる形であれ支持するものではありません。」
たとえクラムサー氏が買収企業の悪意について全く知らなかったとしても、アプリ買収については依然として疑念を抱く十分な理由があるとロビンソン氏は述べた。
「怪しい会社があなたのアプリケーションを買収しようとしたとき、彼らは投資回収のためにユーザーにとって完全にプラスになる方法を採用することはないだろうと知っておく必要がありますが、ソーシャルメディア上の一部の人々が言っているように、だからといってその会社が悪者になるわけではありません」とインターネット探偵は述べた。
古いアプリはどうやって破損するのでしょうか?
信頼できるように見えるアプリが、ユーザーのコンピュータにインストールされた後にトロイの木馬として機能したのは今回が初めてではありません。どの時代を振り返っても、正当なアプリのように見えるアプリが消費者の信頼を悪用する事例は数多くあります。2013年には、人気の「Brightest Flashlight App」が、ユーザーの位置情報とデバイス情報を第三者に送信したとして、連邦取引委員会(FTC)から訴訟を起こされました。開発者は最終的に、金額は非公開でFTCと和解しました。
ソフトウェア開発者は、Stylishブラウザ拡張機能が2017年にSimilarWebに買収された後、ユーザーのウェブサイト訪問をすべて記録し始めていることを発見しました。別の拡張機能であるThe Great Suspenderは、2020年に正体不明のグループに売却された後、マルウェアとしてフラグ付けされました。これらのアプリはすべて、侵入の兆候が認識される前から数百万人のユーザーを抱えていました。これらのケースでは、新しいアプリ所有者の不正な取り組みはすべて、より侵入的なデータ収集を支援することを目的としており、そのデータは第三者に売却され、手間も倫理観もなく金儲けをすることができます。
アプリ開発は難しく、費用もかかるため、個人クリエイターにとっては、チャンスが訪れた時にアプリを販売したいという誘惑に駆られます。ロビンソン氏は、以前、無料でアプリを開発し、その費用の高さを身をもって体験したことがあると言います。
「何の成果も得られない物件に何時間も費やすよりも、誰かに売却してその負担を軽くしてもらえる方が賢明ですよね?」とロビンソン氏は言った。「デベロッパーの財政状況はよく分かりませんが、毎月の家賃の支払いに苦労しているのに、5桁の賃料を提示されたら、お金を受け取る代わりに、自分のモラルを少し犠牲にするでしょう。」
