原題: Email Bombs Exploit Lax Authentication in Zendesk
Zendeskの認証不備を悪用した大規模メール攻撃の拡大について
カスタマーサービスプラットフォームZendeskの認証設定の不備を悪用し、数百の法人顧客から脅迫的なメールが一斉に送信される攻撃が拡大しています。本記事では、この攻撃の背景と技術的な詳細、そして企業に与える影響について解説します。
主要なポイント
- 認証なしでチケット作成可能な設定の悪用
Zendeskの一部顧客が匿名ユーザーでもサポートチケットを作成できる設定にしているため、攻撃者はこれを利用して大量の悪質なメッセージを送信しています。 - 送信元は顧客のドメイン名を装う
メールはZendeskプラットフォームからではなく、各顧客のドメイン名を使って送信されるため、受信者は正規の企業からのメールと誤認しやすい状況です。 - 攻撃者は任意の件名や送信者アドレスを設定可能
これにより、法執行機関の調査を装った脅迫や個人への侮辱など、多様な悪質メッセージが送られています。 - Zendeskのレート制限は攻撃を完全には防げていない
大量のリクエストを制限する仕組みはあるものの、数千件のメッセージが短時間に送信される事態を防止できていません。 - 推奨される対策は認証済みユーザーのみのチケット作成設定
Zendeskは顧客に対し、認証されたユーザーのみがチケットを作成できる設定を推奨し、追加の防止策を検討中です。
技術的な詳細と背景情報
Zendeskは企業の顧客サポートを自動化するプラットフォームで、顧客が問題を報告すると「チケット」と呼ばれるサポート依頼が作成されます。通常、チケット作成にはユーザー認証が必要ですが、ビジネス上の理由から匿名ユーザーでもチケットを作成できる設定を選ぶ企業もあります。
攻撃者はこの匿名チケット作成機能を悪用し、任意のメールアドレスや件名を使って大量のチケットを作成。Zendeskの自動応答機能により、これらのチケットに対する通知メールが顧客のドメインから送信されるため、受信者は正規のサポートメールと誤認します。
この攻撃は「分散型多数対一攻撃」とも呼ばれ、複数のZendesk顧客アカウントを介して一つのターゲットに大量のメールを送りつける手法です。Zendeskはレート制限(一定時間内のリクエスト数制限)を設けていますが、現状では十分に防げていません。
影響と重要性
この攻撃により、標的となったメール受信箱は大量の迷惑メールで溢れ、重要なメールの見落としや業務の混乱を招きます。また、送信元が正規企業のドメインを装っているため、受信者の信頼を損ね、ブランドイメージの毀損にも繋がります。
さらに、攻撃者が送信者アドレスを偽装できる点は、なりすましメール(スプーフィング)やフィッシング攻撃のリスクを高め、企業のセキュリティ対策の重要性を改めて浮き彫りにしています。
まとめ
Zendeskの匿名チケット作成機能の認証不備を悪用した大規模メール攻撃は、企業のブランド信頼を損ねる深刻な問題です。企業はZendeskの設定を見直し、認証済みユーザーのみがチケットを作成できるようにすることが最も効果的な対策となります。また、受信したサポートメールの送信元を必ず検証し、不審なメールには注意を払うことが求められます。
Zendeskも追加の防止策を検討中であり、今後のアップデートに注目が必要です。サイバーセキュリティの観点からは、サービスの設定管理とメールの正当性検証を徹底し、こうした攻撃の被害を最小限に抑えることが重要です。
