原題: Email Bombs Exploit Lax Authentication in Zendesk
Zendeskの認証緩和を悪用した大量メール爆弾攻撃の実態
カスタマーサービスプラットフォームZendeskの認証設定の甘さを狙った大量メール爆弾攻撃が確認されました。攻撃者は数百のZendesk法人顧客の名を騙り、標的のメール受信箱を脅迫的なメッセージで埋め尽くしています。
主要なポイント
- 認証なしでチケット作成可能な設定の悪用:Zendeskの一部顧客は、認証済みユーザー限定ではなく匿名でサポートチケットを作成できる設定を利用しており、攻撃者はこれを悪用して大量の偽チケットを送信。
- 送信元が顧客のドメイン名を装う:悪用されたメッセージはZendesk自体からではなく、顧客企業のドメイン名を使って送信されるため、受信者にとって本物のサポートメールと見分けがつきにくい。
- 攻撃内容は多様で悪質:架空の法執行機関による調査警告や個人的な侮辱を含むなど、攻撃者が自由に件名や内容を設定可能で、受信者に心理的負担を与える。
- レート制限が不十分:Zendeskは大量リクエストを防ぐためのレート制限を設けているが、数千通のメッセージを数時間で防げていない。
- 対策として認証済みチケット作成の推奨:Zendeskは顧客に対し、認証ユーザーのみがチケットを作成できる設定を推奨し、追加の予防措置を検討中。
技術的な詳細と背景
Zendeskは企業のカスタマーサポートを効率化する自動化ヘルプデスクサービスで、顧客が問題を報告するためのチケットを作成できます。通常、チケット作成時にはユーザー認証を求める設定が推奨されていますが、匿名でのチケット作成を許可する設定も存在します。
匿名チケット作成では、送信者が任意のメールアドレスを指定できるため、攻撃者は第三者のメールアドレスを偽装して大量のサポートリクエストを作成可能です。これにより、Zendeskの自動応答機能がトリガーされ、顧客企業のドメイン名を使った大量の通知メールが第三者に送信されます。
この攻撃は「メール爆弾攻撃(メールボム)」の一種で、標的のメールボックスを大量の迷惑メールで溢れさせ、正常なメールの受信や業務を妨害します。Zendeskのレート制限は存在するものの、分散型の攻撃に対しては十分に機能していません。
影響と重要性
この問題は、Zendeskを利用する多くの企業にとって深刻なリスクをもたらします。攻撃により、顧客のメールボックスが迷惑メールで埋まり、重要なサポート連絡が埋もれる恐れがあります。また、企業のブランドイメージが悪用され、信頼性の低下や顧客離れを招く可能性もあります。
さらに、攻撃者が自由に件名や内容を設定できるため、心理的な圧迫や混乱を引き起こし、企業のサポート体制に大きな負担をかけます。Zendeskの認証設定の甘さは、こうした攻撃の温床となっているため、適切な認証設定とメールアドレスの検証が不可欠です。
まとめ
Zendeskの匿名チケット作成機能の認証緩和が悪用され、大量の迷惑メールが企業のメールボックスを襲っています。攻撃者は顧客企業のドメインを騙り、心理的に悪質な内容を含むメッセージを送信。Zendeskは認証済みユーザーのみがチケットを作成できる設定を推奨し、追加の対策を検討中です。
企業はZendeskの設定を見直し、認証の強化とメールアドレス検証を徹底することが重要です。これにより、ブランドの信頼性を守りつつ、メール爆弾攻撃による業務妨害を防止できます。
