原題: Email Bombs Exploit Lax Authentication in Zendesk
Zendeskの認証緩和を悪用した大量メール爆撃攻撃の実態
近年、カスタマーサービスプラットフォームZendeskの認証の甘さを突いた大量メール爆撃攻撃が増加しています。攻撃者はZendeskの認証緩和を悪用し、複数の企業になりすまして標的のメール受信箱に脅迫的かつ迷惑なメッセージを大量に送りつけています。
主要なポイント
- Zendeskの認証緩和を悪用:Zendeskの一部顧客が匿名でサポートチケットを作成できる設定にしているため、攻撃者はこれを利用して大量の迷惑メールを送信。
- 送信元が顧客のドメイン名に見える:迷惑メールはZendeskではなく、実際の顧客企業のドメインから送信されるため、受信者は正規のメールと誤認しやすい。
- 攻撃内容は多様で悪質:法執行機関の調査を装った警告や個人的な侮辱など、受信者を混乱させる内容が含まれている。
- Zendeskのレート制限は不十分:大量のチケット作成を防ぐための制限があるものの、数千件のメッセージが短時間に届く事態を防げていない。
- 対策として認証済みユーザーのみに制限推奨:Zendeskは顧客に対し、認証されたユーザーのみがチケットを提出できる設定を推奨しているが、匿名利用を好む顧客も存在する。
技術的な詳細や背景情報
Zendeskは顧客企業がカスタマーサポートを効率化するためのプラットフォームで、ユーザーはサポートチケットを作成し、企業からの返信を受け取れます。通常、チケット作成時にユーザー認証を行うことで不正利用を防止しますが、一部の顧客は匿名でチケットを作成可能な設定を採用しています。
この匿名設定では、送信者のメールアドレスを攻撃者が任意に指定でき、さらにZendeskの自動応答機能(トリガー)が有効になっている場合、攻撃者が設定した件名や内容を含む通知メールが顧客企業のドメインから送信されます。これにより、受信者は正規のサポートメールと誤認しやすく、ブランドイメージの毀損や混乱を招きます。
Zendeskは大量のリクエストを制限するレート制限機能を持っていますが、今回の攻撃では数千件のメッセージが数時間で届くなど、十分な防御とは言えない状況です。
影響や重要性
この攻撃は、Zendeskを利用する企業のブランド信頼性を著しく損なうリスクがあります。正規のサポートメールに見えるため、受信者は混乱し、場合によってはフィッシングや詐欺の疑いを持つこともあります。また、企業のカスタマーサポート業務に支障をきたし、対応コストの増加や顧客満足度の低下を招く恐れがあります。
さらに、攻撃者が第三者のメールアドレスを悪用してスパムを送信できるため、被害はZendesk顧客だけでなく、その顧客の顧客にも及ぶ可能性があります。これにより、サプライチェーン全体のセキュリティリスクが高まります。
まとめ
Zendeskの認証緩和を悪用した大量メール爆撃攻撃は、認証なしでサポートチケットを作成できる設定が主な原因です。攻撃者はこれを利用し、顧客企業のドメインを悪用して迷惑メールを大量に送信しています。
企業はZendeskの設定を見直し、認証済みユーザーのみがチケットを作成できるようにすることが重要です。また、メール送信時の送信者アドレス検証を徹底し、不正利用を防止することが求められます。Zendesk側も追加の防止策を検討しており、今後のアップデートに注目が必要です。
この事例は、カスタマーサポートプラットフォームの設定ミスや認証緩和がどれほど大きなセキュリティリスクとなり得るかを示しており、企業はセキュリティベストプラクティスを遵守することが不可欠です。
