最近、Malwarebytes 、Yahoo Mailのウェブインターフェースでメールを読んでいる際に、Web保護アラートが頻繁に表示されるという報告が寄せられています。これらのアラートは、Yahoo Mailのページから、当社の製品や他のセキュリティツールが現在「危険」と分類している一連のサードパーティドメインへのバックグラウンド接続によって引き起こされています。
内部で何が起きているのか
ブラウザでYahoo Mailを開くと、ページにはナビゲーション、機能、および分析データのためのさまざまな埋め込みコンポーネントが読み込まれます。その一環として、インターフェースは次のようなドメインに対してリクエストを送信します。 cook.howduhtable.com および関連するサブドメイン。場合によっては、次のようなURLの文脈において /ybar/mail.yahoo.com/ および長いエンコードされたパラメータ。そのエンコードされた文字列は、多くの場合、次のようなURLに変換されます:
https://gpt.mail.yahoo.net/sandbox?client=novation&version=0.1&haq=1&cache=1
このことから、トラフィックは、Yahooがテレメトリやインフラのテスト、メール機能などに利用できると思われるサンドボックス化されたWebコンポーネントを経由してルーティングされていることが示唆されます。また、広告やトラッキングのフローの一部である可能性もありますが、現時点では、Yahooがこれを具体的にどのような目的で使用しているのか、確かなことは言えません。
意図の如何にかかわらず、複数のセキュリティシステムがこれらのリダイレクトドメインを検知し、それらに低い評価を付与しています。その特徴は以下の通りです:
- 頻繁に変更され、不透明で、一般のユーザーが目にしている通常のYahooアドレスとは似ても似つかないサブドメイン
- エンコードされたパラメータや連鎖リダイレクトを使用することで、ユーザーや、場合によっては防御側も、最終的な行き先を一目で把握しにくくなる
- 他のベンダーによる既存の検知結果やブロックリストにおいて、当該インフラストラクチャが不審または悪意のある可能性があると分類されているもの
こうした兆候を受けて、Malwarebytes ProtectionBrowser Guard 、ユーザーを保護するために関連するサブドメインのブロック対象リストを順次Browser Guard 。そのため、Yahoo Mailの利用中に繰り返し警告が表示される場合があります。
私たちが言わないこと
自分たちが何を知っていて、何を知らないのかを明確にすることが重要です。
Yahoo Mail自体が侵害されていることや、Yahooがメールプラットフォームを通じて意図的にマルウェアを配布していることは確認されていません。ただし、Yahoo Mailのウェブインターフェースから呼び出されるサードパーティ製または内部のコンポーネントが、悪意のある広告や欺瞞的な広告、追跡に関連するインフラと極めて類似した動作をするドメインを介して接続を行っていることは確認されています。
セキュリティの観点から言えば、これは不必要なリスクを生み出します。不透明なリダイレクトチェーンを介してコンテンツを挿入したり、サンドボックス化されたコンポーネントを実行したりする仕組みは、将来悪用されたり改ざんされたりした場合、ユーザーが不審なリンクをクリックすることなく、有害なコンテンツにさらされる恐れがあります。
これらのドメインをブロックすることは、当社の通常の保護基準に沿った予防措置です。
Malwarebytes これらのリダイレクトをMalwarebytes 理由
これらの接続をブロックする決定は、技術的な挙動とサードパーティのレピュテーションデータの両方を総合的に判断した結果です:
- リダイレクトは、ユーザーが意図的にそれらのドメインにアクセスしたためではなく、Yahoo Mailのインターフェースに組み込まれたコンポーネントによって引き起こされます
- このインフラストラクチャは、頻繁に変更される、意味をなさないドメインやサブドメインに依存しており、これは悪意のある広告やトラッキングシステム、あるいは検知回避を目的としたシステムでよく見られるパターンです
- すでに複数のセキュリティベンダーや自動レピュテーション・フィードが、これらのドメインを危険または悪意のあるものとして警告しており、一部のベンダーでは、これらのドメインが望ましくない活動や有害な活動に関連していることを確認しています
このため、Malwarebytes 現在、Yahoo Mailのウェブサービスの一部として呼び出される際、これらのサードパーティドメインへの接続をブロックしています。これは、Yahoo Mail全体が悪意のあるものと見なされているわけではありません。リスクが高いと特定された、ごく一部のバックグラウンドでの通信を意図的に遮断しているということです。
ユーザーにとってこれはどういうことか
Malwarebytes 状態でブラウザで Yahoo Mail を使用すると、次のようなメッセージが表示される場合があります:
- Web保護またはMWACのアラートで、次のようなドメインが参照されている場合
cook.howduhtable.comメールを読んだり作成したりする際に、これと似たような名前 - 短期間に複数のアラートが発生する場合があります。これは、メールインターフェースが再送信を試みたり、同じファミリー内の異なるサブドメインやIPアドレスを順次使用したりするためです。
ほとんどの場合、メール本文自体は正常に表示されますが、一部の埋め込み要素、分析データ、または広告関連のコンテンツは読み込まれないか、通常とは異なる動作をする可能性があります。
安全を確保し、中断を減らす方法
Yahoo Mailを引き続きご利用いただくために、セキュリティ設定を緩和する必要はありません。以下に、実践的な対策をご紹介します:
- Malwarebytes 有効にしておく
「Web Protection」とBrowser Guard 、将来的にこれらのリダイレクトの動作が変化したり、有害なコンテンツの配信が始まったりした場合でも、ブロック機能が維持されます。 - 不審なドメイン
を許可リストに登録しないでください。技術的には個別のドメインを除外リストに追加することは可能ですが、そうするとそのドメインからのトラフィックがフィルタリングされずにブラウザに読み込まれてしまいます。リスクを十分に理解し、そのリスクを受け入れる場合を除き、この操作はお勧めしません。 - Yahoo Mail
windows をご利用ください。プライベートウィンドウまたはシークレットモードで Yahoo Mail にアクセスすると、ウィンドウを閉じた際にブラウザが Cookie やローカルストレージを削除するため、特定の追跡データや広告データの保存期間を短縮することができます。 - 定期的にクッキーとサイトデータを削除する
警告が繰り返し表示される場合は、Yahoo! 関連のクッキーやキャッシュデータを削除することで、これらのリダイレクトを引き起こしている根本的な追跡動作の一部を軽減できる可能性があります。 - 広告を少なくするオプションを検討する
Yahooでは、広告を減らしたり非表示にしたりできる有料プランを提供しています。また、ユーザーはMalwarebytes と併せて信頼できるコンテンツブロック拡張機能を利用Malwarebytes 、ウェブメールのインターフェースにおける広告関連の動作を抑制Malwarebytes 可能です。
継続的なモニタリング
これらのリダイレクトに関与するドメインおよびインフラストラクチャは、Malwarebytes運用されており、その設定や動作は時間の経過とともに変更される可能性があります。当社は、これらのドメインおよび関連インフラストラクチャに関するテレメトリ、サンドボックスレポート、レピュテーションデータを積極的に監視しており、新たな情報が判明した場合は、検知設定を調整いたします。
当社の最優先事項は、ユーザーの安全を確保するとともに、特にウェブメールのような広く利用されているサービスにおいて、保護措置が講じられる理由について透明性を保つことです。Yahoo Mail内におけるこのコンポーネントの具体的な役割について新たな情報が得られた場合、またはYahooから追加の説明があった場合は、本記事を適宜更新いたします。
被害が及ぶ前に脅威を阻止しましょう。
Malwarebytes Browser Guard 、フィッシングページや悪意のあるサイトを自動的にBrowser Guard 。無料で、ワンクリックでインストールできます。ブラウザに追加する →
