原題: Email Bombs Exploit Lax Authentication in Zendesk
Zendeskの認証不備を悪用した大量メール爆弾攻撃の概要
カスタマーサービスプラットフォームのZendeskに存在する認証の不備を悪用し、サイバー犯罪者が数百の法人顧客を装って標的のメール受信箱に大量の脅迫的メッセージを送りつける攻撃が発生しました。本記事では、この攻撃の詳細とその影響、そして対策について解説します。
主要なポイント
- Zendeskの匿名チケット作成機能の悪用:Zendeskは認証なしでサポートチケットを作成できる設定を顧客が選択可能であり、これが攻撃の温床となっています。
- 大量の迷惑メール送信:攻撃者はCapCom、Discord、NordVPNなど複数の有名企業のZendeskアカウントを装い、数千件の脅迫的または侮辱的なメッセージを短時間で送信しました。
- 送信元のドメイン偽装:メールはZendeskのドメインではなく、各顧客企業のドメインから送信されるため、受信者は正規の企業からのメールと誤認しやすい状況です。
- レート制限の限界:Zendeskは大量リクエストを防ぐためのレート制限を設けていますが、今回の攻撃では十分に機能せず、多数のメッセージが送信されました。
- 対策の推奨:Zendeskは認証済みユーザーのみがチケットを作成できる設定を推奨し、顧客にセキュリティ強化を促しています。
技術的な詳細と背景情報
Zendeskは企業のカスタマーサポートを効率化するための自動化ヘルプデスクサービスであり、顧客が簡単に問い合わせチケットを作成できる仕組みを提供しています。通常、チケット作成にはユーザー認証が必要ですが、ビジネス上の理由で匿名ユーザーからのチケット作成を許可する設定も存在します。
この匿名設定では、送信者が任意のメールアドレスを指定できるため、第三者のメールアドレスを使ったスパムやなりすましが可能になります。さらに、チケット作成時に自動応答トリガーが有効化されていると、攻撃者が設定した件名を含む通知メールが顧客企業のドメインから送信され、受信者に正規の連絡と誤認されやすくなります。
影響と重要性
この攻撃により、標的となった受信者は大量の迷惑メールにより業務に支障をきたすだけでなく、企業のブランドイメージが損なわれるリスクもあります。特に送信元が正規の企業ドメインであるため、受信者は詐称メールと気づかずに返信や対応をしてしまう恐れがあります。
また、Zendeskのような広く利用されるプラットフォームの認証不備は、多数の企業に波及するリスクが高く、サプライチェーン攻撃の一種としても注目されます。適切な認証設定とメール検証の徹底が企業のセキュリティ維持に不可欠です。
まとめ
Zendeskの匿名チケット作成機能の認証不備を悪用した大量メール爆弾攻撃は、企業のブランド信頼を揺るがす深刻な問題です。企業はZendeskの設定を見直し、認証済みユーザーのみがチケットを作成できるようにすることが重要です。また、受信したサポートリクエストのメールアドレス検証を怠らないことで、なりすましやスパムの被害を防止できます。サイバーセキュリティのベストプラクティスを遵守し、こうした攻撃に備えることが求められています。
