原題: Email Bombs Exploit Lax Authentication in Zendesk
Zendeskの認証緩和機能を悪用した大量メール攻撃の概要
カスタマーサービスプラットフォームのZendeskにおいて、認証が緩い設定を悪用した大量の迷惑メール攻撃が発生しました。攻撃者は複数の法人顧客を装い、標的のメール受信箱に脅迫的なメッセージを一斉に送りつけています。
主要なポイント
- 認証不要のサポートリクエスト機能の悪用
Zendeskの一部顧客が、匿名ユーザーでもサポートチケットを作成できる設定を利用しているため、攻撃者が自由にリクエストを送信可能となっています。 - 顧客ドメインからの送信により信頼性が高いように見える
迷惑メールはZendeskのドメインではなく、各顧客の正規ドメインから送信されるため、受信者が正当なメールと誤認しやすい点が問題です。 - 攻撃メールに任意の件名や内容を設定可能
攻撃者は脅迫や侮辱など、様々な悪質な内容を自由に設定でき、被害の拡大を招いています。 - レート制限があるものの大量送信を防げていない
Zendeskは大量リクエストを制限する仕組みを持つものの、今回の攻撃では数千通のメールが短時間に送信されてしまいました。 - 対策として認証済みユーザーのみのチケット作成推奨
Zendeskは顧客に対し、認証ユーザー限定の設定を推奨し、追加の防止策を検討中です。
技術的な詳細と背景情報
Zendeskは企業が顧客サポートを効率化するための自動化ヘルプデスクサービスです。通常、顧客はサポートチケットを作成すると、その企業のドメインから通知メールが送信されます。この仕組みは顧客と企業間のコミュニケーションを円滑にしますが、匿名ユーザーでもチケットを作成できる設定の場合、誰でも自由にリクエストを送信可能となります。
さらに、チケット作成時に送信者がメールアドレスや件名を自由に設定できるため、攻撃者は第三者のメールアドレスを使ったスパムや脅迫メールを大量に送信できます。これにより、正規の企業ドメインを悪用したフィッシングやブランド毀損のリスクが高まります。
Zendeskはレート制限(一定時間内に送信できるリクエスト数の制限)を設けていますが、今回の攻撃では十分に機能せず、数千通の迷惑メールが送信されました。
影響と重要性
この攻撃は、企業のブランドイメージを損ない、顧客や取引先に混乱と不信感を与える可能性があります。正規ドメインからのメールであるため、受信者が攻撃メールと気づかずに開封し、さらなる被害に繋がる恐れもあります。
また、Zendeskのような広く利用されているプラットフォームの認証設定が緩い場合、攻撃者にとって格好の標的となり、同様の被害が他の企業にも波及するリスクがあります。
企業はサポートシステムの設定を見直し、認証済みユーザーのみがチケットを作成できるようにすることが重要です。加えて、送信元メールアドレスの検証や多要素認証の導入など、セキュリティ強化策を講じる必要があります。
まとめ
Zendeskの認証緩和機能を悪用した大量メール攻撃は、匿名ユーザーによるサポートチケット作成を許可する設定が原因で発生しました。攻撃者は企業の正規ドメインを使い、脅迫的なメールを大量に送信。これによりブランド毀損や顧客混乱が生じています。
企業はZendeskの設定を見直し、認証済みユーザー限定のチケット作成を推奨されていることを踏まえ、セキュリティ対策を強化することが求められます。Zendesk側も追加の防止策を検討中であり、今後のアップデートに注目が必要です。
