原題: Email Bombs Exploit Lax Authentication in Zendesk
Zendeskの認証緩和を悪用したメール爆弾攻撃が多発中
カスタマーサービスプラットフォームであるZendeskの認証設定の緩さを悪用した大量の迷惑メール攻撃が報告されています。攻撃者は匿名でサポートチケットを作成し、数百の企業を装って標的のメール受信箱に脅迫的なメッセージを送りつけています。
主要なポイント
- 匿名ユーザーによるチケット作成の悪用:Zendeskの一部顧客は認証なしで誰でもサポートチケットを送信できる設定にしており、これが攻撃者に悪用されています。
- ブランドを偽装した大量メールの送信:攻撃メールはCapCom、Discord、The Washington Postなど有名企業の名前を騙り、受信者に信頼感を与えつつ大量に送信されています。
- 送信元は顧客のドメイン名:悪用されたメッセージはZendeskのドメインではなく、各顧客の正規ドメインから送信されるため、受信者が正当なメールと誤認しやすい状況です。
- レート制限の限界:Zendeskは大量のリクエストを防ぐためレート制限を設けていますが、数千件のメッセージが短時間に送られる攻撃を完全には防げていません。
- セキュリティ対策の推奨:Zendeskは顧客に対し、認証済みユーザーのみがチケットを作成できる設定を推奨し、被害軽減に努めています。
技術的な詳細や背景情報
Zendeskは企業の顧客サポートを効率化するための自動化ヘルプデスクサービスです。通常、顧客はZendeskを通じて問い合わせチケットを作成し、企業はそれに応じて対応します。しかし、一部のZendesk顧客は「匿名ユーザーが認証なしでチケットを作成できる」設定を採用しており、これが今回の攻撃の温床となっています。
攻撃者はこの匿名チケット作成機能を利用し、任意のメールアドレスや件名を設定して大量のサポートリクエストを送信。Zendeskの自動応答機能により、これらのリクエストに対する通知メールが顧客の正規ドメインから送信されるため、受信者は正当なメールと誤認しやすくなります。
この仕組みは、スパムやフィッシングメールの送信に悪用されやすく、ブランドイメージの毀損や受信者の混乱を招くリスクがあります。Zendesk側はレート制限を設けているものの、数千件規模の攻撃には十分対応できていません。
影響や重要性
この問題は、Zendeskを利用する企業のブランド信頼性に直接的なダメージを与える可能性があります。正規のサポートメールに見えるため、受信者は攻撃メールを信用してしまい、詐称された企業の評判が損なわれる恐れがあります。
また、企業のサポート担当者は大量の偽リクエスト対応に追われることで業務効率が低下し、本来の顧客対応に支障をきたすリスクもあります。さらに、攻撃が継続すれば、メールサーバーの負荷増大やブラックリスト登録などの二次被害も考えられます。
まとめ
Zendeskの匿名チケット作成機能の認証緩和は利便性を高める一方で、悪用されると大規模なメール爆弾攻撃の温床となります。企業は顧客サポートの設定を見直し、認証済みユーザーのみがチケットを作成できるようにすることが重要です。
また、受信したサポートメールの送信元アドレスを必ず検証し、不審なメッセージには慎重に対応することが求められます。Zendesk側も追加の防止策を検討中であり、今後のアップデートに注目が必要です。
