原題: Email Bombs Exploit Lax Authentication in Zendesk
Zendeskの認証緩和を悪用した大規模メール攻撃の現状
カスタマーサービスプラットフォームのZendeskにおける認証設定の甘さを狙った大規模なメール攻撃が拡大しています。攻撃者は複数の法人顧客の名義を悪用し、標的のメール受信箱を脅迫的なメッセージで埋め尽くしています。
主要なポイント
- 認証なしでチケット作成可能な設定の悪用:Zendeskの一部顧客は、匿名ユーザーでもサポートチケットを作成できる設定を採用しており、これが攻撃者に悪用されています。
- 顧客ドメイン名からの大量メール送信:攻撃メールはZendeskのドメインではなく、顧客企業の正規ドメインから送信されるため、信頼性が高く見え、受信者の警戒を弱めます。
- 攻撃メールの多様性と悪質性:法執行機関の調査を装った脅迫や個人的な侮辱など、多彩で悪質な内容が含まれており、受信者に混乱と不安を与えます。
- レート制限の不十分さ:Zendeskは大量リクエストを防ぐためのレート制限を設けていますが、数千通もの攻撃メールの送信を阻止できていません。
- 推奨される対策:Zendeskは顧客に対し、認証済みユーザーのみがチケットを作成できる設定を推奨し、メールアドレスの検証を徹底するよう助言しています。
技術的な詳細と背景情報
Zendeskは企業の顧客サポートを効率化するためのヘルプデスクサービスで、顧客がサポートチケットを簡単に作成できる仕組みを提供しています。通常、サポートチケットの作成にはユーザー認証が必要ですが、ビジネス上の理由から匿名ユーザーでもチケット作成を許可する設定が存在します。
この匿名設定では、誰でも任意のメールアドレスを使ってチケットを作成できるため、攻撃者は第三者のメールアドレスを偽装してスパムリクエストを大量に送信可能です。さらに、Zendeskの自動応答機能により、これらのチケット作成通知メールが顧客企業のドメインから送信されるため、受信者は正規のメールと誤認しやすくなります。
Zendeskはレート制限を設けているものの、分散型の多数対一攻撃には対応しきれていません。これにより、数千通もの迷惑メールが短時間に送信される事態が発生しています。
影響と重要性
この攻撃は、Zendeskの顧客企業のブランドイメージを損ない、顧客や取引先の信頼を失うリスクを高めます。また、受信者のメールボックスを脅迫的なメッセージで埋め尽くすことで、重要な連絡の見落としや業務の混乱を招きかねません。
さらに、攻撃に利用された匿名チケット作成設定は、サポート業務の利便性とセキュリティのバランスを取る上での課題を浮き彫りにしています。適切な認証とメールアドレス検証の欠如は、悪意ある第三者によるブランドの悪用を許してしまうため、企業は設定の見直しと強化が急務です。
まとめ
Zendeskの認証緩和設定を悪用した大規模なメール攻撃は、企業のブランド信頼性を脅かす深刻な問題です。匿名ユーザーによるチケット作成を許可する設定は利便性を高める一方で、悪用されるリスクも伴います。企業は認証済みユーザーのみがチケットを作成できる設定に切り替え、メールアドレスの検証を徹底することが重要です。
Zendeskも追加の防止策を検討中ですが、顧客側の設定見直しとセキュリティ意識の向上が被害拡大防止の鍵となります。今後もサイバーセキュリティのベストプラクティスに基づいた運用が求められるでしょう。
