原題: Email Bombs Exploit Lax Authentication in Zendesk
Zendeskの認証緩和機能を悪用した大量メール爆撃攻撃の概要
カスタマーサービスプラットフォームZendeskの認証設定の緩さを悪用し、サイバー犯罪者が数百の企業顧客を装って標的のメール受信箱に脅迫的なメッセージを大量に送りつける攻撃が確認されました。本記事では、この攻撃の仕組みや影響、そして防止策について解説します。
主要なポイント
- 認証不要のサポートリクエスト機能の悪用
Zendeskの一部顧客が「匿名ユーザーを含む誰でもサポートリクエストを送信可能」と設定しているため、攻撃者は自由にチケットを作成し、通知メールを大量に送信できる状況が生まれています。 - 送信元が顧客企業のドメインであるため信頼性が高く見える
迷惑メールはZendeskのドメインではなく、各顧客企業のドメインから送信されるため、受信者は正規のサポート通知と誤認しやすく、攻撃の効果が高まっています。 - 任意の件名や送信者メールアドレスを設定可能
攻撃者はメッセージの件名や送信者メールアドレスを自由に設定できるため、脅迫的な内容や個人攻撃を含むメッセージを送信し、受信者を混乱させています。 - レート制限はあるが不十分
Zendeskは大量リクエストの一斉送信を防ぐためのレート制限を設けていますが、数千通のメールが数時間で届く事態を防ぐには不十分であることが明らかになりました。 - 認証済みユーザーのみがチケットを提出できる設定の推奨
Zendeskは顧客に対し、認証済みユーザーのみがサポートチケットを作成できるよう設定することを強く推奨しています。
技術的な詳細と背景情報
Zendeskは企業が顧客からの問い合わせを効率的に管理できる自動化ヘルプデスクサービスです。通常、顧客がサポートリクエストを送信すると、その内容に基づきチケットが作成され、企業側に通知メールが送られます。
しかし、Zendeskの設定によっては「匿名リクエスト送信」が許可されており、これにより認証なしで誰でもチケットを作成可能です。さらに、送信者メールアドレスを任意に設定できるため、攻撃者は第三者のメールアドレスを偽装してスパムリクエストを作成できます。
この仕組みを悪用すると、攻撃者は大量のチケットを短時間に作成し、それに伴う通知メールが顧客企業のドメインから送信されるため、受信者は正規のメールと誤認しやすくなります。これが「大量メール爆撃攻撃」と呼ばれる現象です。
影響と重要性
この攻撃は以下のような影響を及ぼします。
- 受信者のメールボックスが大量の迷惑メールで溢れ、重要なメールの見落としや業務の妨害が発生する。
- 企業ブランドの信頼性が低下し、顧客や取引先からの信用を失うリスクがある。
- 攻撃者による脅迫や侮辱的な内容が含まれるため、精神的なストレスや法的問題に発展する可能性がある。
- Zendeskのプラットフォーム自体の安全性に疑問が生じ、利用企業のセキュリティ対策強化が急務となる。
まとめ
Zendeskの認証緩和機能を悪用した大量メール爆撃攻撃は、認証設定の甘さが引き起こす深刻なセキュリティ問題です。攻撃者は匿名で任意の送信者情報を使い、顧客企業のドメインから大量の迷惑メールを送信しており、受信者の混乱や企業ブランドの毀損を招いています。
この問題を防ぐためには、Zendesk顧客が認証済みユーザーのみがチケットを作成できる設定を行い、送信前にメールアドレスの検証を徹底することが重要です。また、Zendesk側もレート制限の強化や追加の防止策を講じる必要があります。企業は自社のカスタマーサポート環境の設定を見直し、セキュリティリスクを低減させることが求められています。
