最近、Malwarebytesユーザーの一部がYahooメールのウェブインターフェースでメールを読んでいる際に、頻繁なウェブ保護アラートに気づいています。これらのアラートは、YahooメールページからMalwarebytes製品および他のセキュリティツールが現在リスクのあるものとして分類している一連のサードパーティドメインへのバックグラウンド接続によって引き起こされています。
内部で見ていることについて
ブラウザでYahooメールを開くと、ページはナビゲーション、機能、メトリクスのための様々な埋め込みコンポーネントを読み込みます。その一環として、インターフェースはcook.howduhtable.comなどのドメインおよび関連するサブドメインへの呼び出しを行い、/ybar/mail.yahoo.com/を含むURLと長いエンコードされたパラメータのコンテキストで行うことがあります。そのエンコードされた文字列は通常、次のようなURLに解決されます:
https://gpt.mail.yahoo.net/sandbox?client=novation&version=0.1&haq=1&cache=1
これは、トラフィックがYahooがテレメトリ、テストインフラ、またはメール機能などに使用できるサンドボックス化されたウェブコンポーネントを通じてルーティングされていることを示唆しています。また、広告またはトラッキングフローの一部である可能性もありますが、現時点では、Yahooがそれを正確にどのような目的で使用しているかを確かに言うことはできません。
意図がどうであれ、複数のセキュリティシステムはこれらのリダイレクトドメインを観察し、悪い評価を割り当てています。特性は以下の通りです:
- 頻繁に変更される、不透明なサブドメイン。通常のコンシューマー向けYahooアドレスに似ていません
- エンコードされたパラメータとチェーンリダイレクトの使用により、ユーザーおよび時には防御者が最終的な目的地を一目で見ることが困難になります
- インフラストラクチャを疑わしいまたは潜在的に悪意のあるものに分類する他のベンダーからの既存の検出とブロックリスト
これらの信号のため、Malwarebytes Web ProtectionおよびBrowser Guardはユーザーを保護するために関連するサブドメインの増加するリストをブロックしており、これが理由で一部のユーザーはYahooメール使用中に繰り返されるアラートを見ています。
述べていないこと
私たちが知っていることと知らないことを明確にすることが重要です。
YahooメールそのものがコンプライズされたこともYahooがそのメールプラットフォームを通じて意図的にマルウェアを配信していることも確立していません。述べることができるのは、Yahooメールウェブインターフェースからのサードパーティまたは内部コンポーネントが、悪意のある、または欺瞞的な広告およびトラッキングに一般的に関連するインフラストラクチャと非常に似た動作をするドメインを通じて接続を確立していることです。
セキュリティの観点から、これは不要なリスクを作成します。コンテンツを注入するまたはサンドボックス化されたコンポーネントを不透明なリダイレクトチェーン経由で実行するどのようなメカニズムも、将来的に悪用または転覆された場合、ユーザーが疑わしいリンクをクリックすることなく有害なコンテンツにさらされる可能性があります。
これらのドメインのブロックは、当社の通常の保護基準に沿った予防的な措置です。
Malwarebytesがこれらのリダイレクトをブロックする理由
これらの接続をブロックするという当社の決定は、技術的な動作とサードパーティの評価データの組み合わせに基づいています:
- リダイレクトはYahooメールインターフェースの埋め込みコンポーネントによってトリガーされ、ユーザーが意図的にそれらのドメインをブラウジングすることによってではありません
- インフラストラクチャは頻繁に変更される、非記述的なドメインおよびサブドメインに依存しており、これは悪意のある、または回避的な広告およびトラッキングシステムでよく見られるパターンです
- 複数のセキュリティベンダーおよび自動化された評価フィードはすでにこれらのドメインをリスキーまたは悪意のあるものとしてフラグを立てており、一部はそれらが不要または有害なアクティビティに関連していることを確認しています
このため、Malwarebytes製品は、Yahooメールのウェブエクスペリエンスの一部として呼び出された場合、これらのサードパーティドメインへの接続をブロックしています。これはYahooメール全体が悪意のあるものと見なされることを意味しません。特定の高いリスクをもたらす背景呼び出しの限定的なセットを中断していることを意味します。
これはユーザーにとって何を意味するか
Malwarebytesを有効にしてブラウザでYahooメールを使用している場合、次の表示が見られる場合があります:
- メールを読んでいるまたは作成している間、
cook.howduhtable.comのようなドメインまたは同様の名前を参照するウェブ保護またはMWACアラート - 短期間に複数のアラート。メールインターフェースは同じファミリー内のさまざまなサブドメインまたはIPアドレスをリトライまたはローテーションする可能性があります
ほとんどの場合、メールコンテンツ自体はまだロードされますが、特定の埋め込み要素、メトリクス、または広告関連のコンテンツはロードに失敗するか異なる動作をする可能性があります。
安全を保つ方法と中断を減らす方法
Yahoo Mailを継続して使用するためにセキュリティレベルを下げる必要はありません。実行できるいくつかの実用的なステップは次のとおりです:
- Malwarebytes保護を有効に保つ
ウェブ保護とBrowser Guardをオンのままにすると、これらのリダイレクトが動作を変更したり、将来有害なコンテンツの提供を開始した場合、ブロックが有効に保たれることが保証されます。 - 疑わしいドメインをアロウリストに追加しないようにしてください
技術的には個別のドメインの除外を追加することは可能ですが、そうするとそれらのトラフィックがフィルタリングされずにブラウザに読み込まれるようになります。完全にリスクを理解して受け入れない限り、これをお勧めしません。 - Yahooメールにはプライベートまたはシークレットウィンドウを使用してください
プライベート/シークレットセッションでYahooメールにアクセスすると、ブラウザがウィンドウを閉じる際にクッキーとローカルストレージを破棄するため、特定のトラッキングおよび広告データの永続性を軽減するのに役立ちます。 - クッキーとサイトデータを定期的に削除してください
繰り返されるアラートが表示される場合、Yahoo関連のクッキーおよびキャッシュされたデータをクリアすると、これらのリダイレクトをトリガーする基本的なトラッキング動作の一部が軽減される可能性があります。 - 広告を減らすオプションを検討してください
Yahooは広告を削減または削除する有料プランを提供しており、ユーザーはMalwarebytesと組み合わせて信頼できるコンテンツブロッキング拡張機能を使用して、ウェブメールインターフェースの広告駆動動作を削減することもできます。
当社の継続的なモニタリング
これらのリダイレクトに関連するドメインおよびインフラストラクチャはMalwarebytes外で操作され、その構成または動作は時間の経過とともに変更される可能性があります。これらのドメインおよび関連するインフラストラクチャのテレメトリ、サンドボックスレポート、および評価データを積極的に監視しており、新しい情報が浮上した場合は検出を調整します。
当社の優先事項は、ユーザーを安全に保ちながら、特にウェブメールなどの広く使用されるサービスで保護イベントが発生する理由について透明性を持つことです。このコンポーネントのYahooメール内での正確な役割についてさらに詳しく学ぶか、Yahooが追加の説明を提供した場合は、この記事を相応に更新します。
脅威が害をもたらす前に停止してください。
Malwarebytes Browser Guardはフィッシングページと悪意のあるサイトを自動的にブロックします。無料、ワンクリックインストール。ブラウザに追加→
