原題: Email Bombs Exploit Lax Authentication in Zendesk
ゼンデスクの認証緩和機能を悪用した大量メール爆撃攻撃の概要
カスタマーサービスプラットフォーム「ゼンデスク(Zendesk)」の認証設定の不備を悪用し、複数の法人顧客の名義を使った大量の迷惑メールが標的のメール受信箱に送りつけられる攻撃が確認されました。本記事では、この攻撃の手口や背景、影響について詳しく解説します。
主要なポイント
- 認証なしでチケット作成可能な設定の悪用
ゼンデスクの顧客が「匿名ユーザーを含む誰でもサポートリクエストを送信可能」に設定していたため、攻撃者が自由にチケットを作成し、大量の通知メールを発生させました。 - 送信元は顧客ドメイン名で偽装可能
攻撃メールはゼンデスク自身のドメインではなく、顧客企業のドメイン名から送信されるため、受信者にとって本物のサポート通知と見分けがつきにくい状況です。 - 任意の件名や送信者アドレスを設定可能
攻撃者は件名や送信者メールアドレスを自由に設定でき、法執行機関の調査を装った脅迫文や個人攻撃など多様な内容でメールを送りつけています。 - レート制限が不十分で大量のメールが送信
ゼンデスクは大量リクエストを防ぐためのレート制限を設けていますが、数千件ものメールが短時間に届くのを防げていません。 - ゼンデスクは認証済みユーザーのみのチケット作成を推奨
企業側に認証設定の強化を促し、匿名リクエストを制限することが被害軽減の鍵とされています。
技術的な詳細や背景情報
ゼンデスクは企業のカスタマーサポートを効率化するための自動化ヘルプデスクサービスで、顧客はウェブフォームやメールからサポートチケットを作成できます。通常、チケット作成にはユーザー認証が必要ですが、利便性を優先して匿名アクセスを許可する設定も存在します。
今回の攻撃は、この匿名アクセス設定を悪用し、攻撃者が任意のメールアドレスや件名を指定して大量のサポートリクエストを送信。ゼンデスクの自動応答機能により、顧客企業のドメインから大量の通知メールが送られ、受信者のメールボックスを埋め尽くしました。
さらに、送信元メールアドレスが顧客企業の正規ドメインであるため、受信者は正規のサポート通知と誤認しやすく、フィッシングやなりすましのリスクも高まります。
影響や重要性
この攻撃は以下のような影響を及ぼします。
- 企業のブランドイメージの毀損:正規ドメインからの大量迷惑メールは、顧客や取引先の信頼を損ねる恐れがあります。
- メール受信者の業務妨害:大量の迷惑メールにより重要なメールの見落としや対応遅延が発生します。
- セキュリティ対策の必要性の再認識:認証設定の甘さが攻撃の温床となるため、適切なアクセス制御が不可欠です。
- ゼンデスク利用企業の運用見直し促進:匿名アクセスを許可する設定のリスクを理解し、認証強化や検証プロセスの導入が求められます。
まとめ
ゼンデスクの認証緩和機能を悪用した大量メール爆撃攻撃は、匿名アクセス設定の不備が引き起こした典型的なセキュリティリスクです。企業は利便性とセキュリティのバランスを見極め、認証済みユーザーのみがサポートリクエストを送信できる設定を推奨します。また、送信前のメールアドレス検証を徹底し、ブランドの悪用を防ぐことが重要です。ゼンデスク側も追加の予防策を検討中であり、今後の改善に期待がかかります。
