原題: Email Bombs Exploit Lax Authentication in Zendesk
ゼンデスクの認証緩和機能を悪用した大量メール攻撃の実態
カスタマーサービスプラットフォーム「ゼンデスク(Zendesk)」の認証緩和機能が悪用され、大量の迷惑メール攻撃が発生しています。サイバー犯罪者はゼンデスクの法人顧客を装い、標的のメール受信箱に脅迫的なメッセージを大量に送りつける手口を用いています。
主要なポイント
- 認証不要のサポートチケット作成機能の悪用
ゼンデスクは顧客が簡単にサポート問い合わせを行えるよう、認証なしでチケットを作成できる機能を提供しています。この認証緩和が攻撃者に悪用され、誰でも任意のメールアドレスを使って大量のサポートリクエストを送信可能となっています。 - 顧客ドメインからの送信で信頼性を偽装
迷惑メールはゼンデスクのドメインではなく、各顧客企業の正規ドメインから送信されるため、一見すると正当なサポートメールに見え、受信者の警戒を解いてしまいます。 - 攻撃の規模と影響
CapCom、Discord、NordVPN、The Washington Postなど複数の大手企業名義で数千件の迷惑メールが短時間に送信され、受信者に混乱と不安をもたらしています。 - ゼンデスクの対応と推奨策
ゼンデスクはレート制限などの防止策を設けていますが、現状では十分に機能していません。顧客には認証済みユーザーのみがチケットを作成できる設定を推奨し、追加の防止策を検討中です。 - メールアドレス検証の重要性
顧客企業がサポートリクエストの送信元メールアドレスを検証しないことが、攻撃成功の一因となっています。検証を徹底すれば、この種の悪用は防げる可能性があります。
技術的な詳細や背景情報
ゼンデスクは自動化されたヘルプデスクサービスで、顧客企業がユーザーからの問い合わせを効率的に管理できます。通常、サポートチケットは認証済みユーザーからのものが望ましいですが、利便性を優先し認証なしでチケットを作成できる匿名環境を許容するケースがあります。
攻撃者はこの匿名チケット作成機能を利用し、任意のメールアドレスや件名を設定して大量のサポートリクエストを送信。ゼンデスクの自動応答トリガーが作動し、顧客企業のドメインから返信メールが送信されるため、正規のメールに見せかけることが可能です。
レート制限は設けられているものの、分散型の多対一攻撃(DDoSの一種)により数千件のリクエストが短時間で送信され、制限を突破しています。
影響や重要性
この攻撃は、企業のブランドイメージを毀損し、顧客や取引先に不信感を与える深刻なリスクを孕んでいます。さらに、受信者のメールボックスを迷惑メールで埋め尽くし、重要な連絡の見落としや業務の混乱を招く恐れがあります。
また、ゼンデスクのような広く利用されるプラットフォームが悪用されることで、サイバー攻撃の手法が多様化し、対策の難易度が上がっています。企業は利便性とセキュリティのバランスを見極め、適切な認証設定やメール検証を徹底する必要があります。
まとめ
ゼンデスクの認証緩和機能を悪用した大量メール攻撃は、認証なしでサポートチケットを作成できる仕組みの盲点を突いたものです。攻撃者は顧客企業の正規ドメインを使って迷惑メールを送信し、ブランド毀損や受信者の混乱を引き起こしています。
ゼンデスクは防止策の強化を進めていますが、顧客企業側でも認証済みユーザーのみがチケットを作成できる設定や、送信元メールアドレスの検証を徹底することが重要です。利便性を損なわずにセキュリティを高めるための対策が求められています。
