原題: Email Bombs Exploit Lax Authentication in Zendesk
Zendeskの認証緩和機能を悪用した大量メール爆撃攻撃の概要
カスタマーサービスプラットフォームZendeskの認証設定の緩さを悪用し、数百の法人顧客の名を騙った大量の迷惑メールが一斉に送信される攻撃が発生しました。攻撃者は匿名ユーザーとしてサポートチケットを作成し、標的のメール受信箱を脅迫的なメッセージで氾濫させています。
主要なポイント
- 認証不要のサポートチケット作成が悪用された
Zendeskの顧客が匿名ユーザーによるチケット作成を許可している場合、誰でも認証なしにサポートリクエストを送信可能であり、これが攻撃の入口となっています。 - 送信元は顧客のドメイン名を偽装
悪用されたメッセージはZendeskではなく、顧客企業のドメイン名から送信されるため、受信者は正規のサポートメールと誤認しやすい状況です。 - 件名や内容は攻撃者が自由に設定可能
攻撃者は任意の件名やメッセージ内容を設定でき、法執行機関の調査を装った警告や個人的な侮辱など多様なメッセージが送られています。 - レート制限があるものの大量送信を防げず
Zendeskは大量のリクエストを防ぐためのレート制限を設けていますが、数時間で数千件のメッセージが届く事態を阻止できませんでした。 - Zendeskは認証済みユーザーのみの利用を推奨
同社は顧客に対し、認証されたユーザーのみがチケットを提出できる設定を推奨し、匿名利用のリスクを警告しています。
技術的な詳細と背景情報
Zendeskは企業のカスタマーサポートを効率化する自動化ヘルプデスクサービスで、顧客が問題を簡単に報告できるよう設計されています。通常、サポートチケットは認証ユーザーによって作成されますが、ビジネス上の理由で匿名ユーザーのチケット作成を許可する設定も存在します。
この匿名設定が悪用されると、攻撃者は任意のメールアドレスを偽装してチケットを作成し、顧客企業のドメインを使った自動返信メールを大量に送信させることが可能になります。これにより、標的のメールボックスが迷惑メールで溢れかえり、業務妨害やブランド毀損のリスクが生じます。
Zendeskはレート制限を設けているものの、多数の異なるアカウントやIPアドレスからの分散攻撃(多対一攻撃)には対応しきれていません。このため、攻撃者は短時間で大量の迷惑メールを送信できてしまいます。
影響と重要性
この攻撃は、Zendeskの顧客企業に対して以下のような深刻な影響を及ぼします。
- メール受信箱の氾濫による業務妨害
大量の迷惑メールにより、重要な顧客対応メールが埋もれてしまう恐れがあります。 - ブランドイメージの毀損
顧客企業のドメインから悪質なメッセージが送信されるため、受信者に不信感を与え、企業の信用を損ないます。 - セキュリティリスクの増大
攻撃者が偽装メールを使ってフィッシングやさらなる攻撃を仕掛ける可能性もあります。 - Zendeskプラットフォームの信頼性低下
認証緩和の設定が悪用されることで、Zendesk自体の安全性や信頼性に疑問が生じます。
まとめ
Zendeskの認証緩和機能を悪用した大量メール爆撃攻撃は、匿名ユーザーによる認証なしのサポートチケット作成を許可した設定が主な原因です。攻撃者は顧客企業のドメインを偽装し、多様な悪質メッセージを大量に送信して業務妨害やブランド毀損を引き起こしています。
この問題を防ぐためには、顧客企業がZendeskの設定を見直し、認証済みユーザーのみがチケットを作成できるようにすることが重要です。また、Zendesk側も分散攻撃に対応可能な防止策の強化が求められます。企業はセキュリティのベストプラクティスを遵守し、サポートチャネルの安全性を確保することが不可欠です。
