サイバー犯罪者たちは、カスタマーサービスプラットフォームZendeskにおける広範な認証不足を悪用し、標的となったメール受信箱に対し、数百のZendesk法人顧客から同時に脅迫的なメッセージを送りつけています。
Zendeskは、自動化されたヘルプデスクサービスで、人々が企業にカスタマーサポートの問題で簡単に連絡できるように設計されています。今週初め、KrebsOnSecurityはZendeskを通じて、数千件ものチケット作成通知メッセージを短時間で受信し始めました。これらはそれぞれ異なるZendesk顧客の名前を冠しており、CapCom、CompTIA、Discord、GMAC、NordVPN、The Washington Post、Tinderなどが含まれていました。
Zendeskのプラットフォームを通じて送られる悪用メッセージは、悪用者が選んだどんな件名でも設定できます。私の場合、これらのメッセージにはKrebsOnSecurity.comに関する架空の法執行機関による調査を警告する内容や、個人的な侮辱が含まれていました。
さらに、この種の悪用によって送信される自動メッセージはすべて、Zendeskからではなく、顧客のドメイン名から送られてきます。下記の例では、The Washington PostのZendeskインストールからの迷惑なカスタマーサポート返信に返信すると、返信先アドレスが[email protected]であることがわかります。
今週、The Washington Postから私に送られてきた数十通のメッセージのうちの一つ。
自社プラットフォームの大規模な悪用について通知を受けたZendeskは、これらのメールはZendeskインスタンスを「誰でもサポートリクエストを送信できる」ように設定した顧客アカウントからのチケット作成通知であると述べました。
「この種のサポートチケットは、お客様のワークフローの一部であり、事前の認証を必要とせずにサポート機能を利用できるようにしている場合があります」とZendeskのコミュニケーションディレクター、キャロリン・カモエンズ氏は述べています。「私たちはお客様に対し、認証済みユーザーのみがチケットを提出できるよう推奨していますが、ビジネス上のさまざまな理由から匿名環境でチケット作成を許可することを好むZendesk顧客もいます。」
カモエンズ氏は、匿名で提出できるリクエストは、送信者が任意のメールアドレスを使用できるとも述べています。
「しかし、この方法は第三者のメールアドレスを使ったスパムリクエストの作成にも利用される可能性があります」とカモエンズ氏は述べています。「アカウントがチケット作成に基づく自動応答トリガーを有効にしている場合、チケット通知メールが当社顧客のアカウントからこれら第三者に送信されることになります。通知には、これらのチケット作成者が追加した件名も含まれます。」
Zendeskは、一度に大量のリクエストが作成されるのを防ぐためにレート制限を使用していると主張していますが、その制限は、私の受信箱が数時間で数千通のメッセージで埋め尽くされるのを防ぐことはできませんでした。
「私たちのシステムが分散型の、多対一の形であなたに対して悪用されたことを認識しています」とカモエンズ氏は述べています。「私たちは現在、さらなる予防策を積極的に調査中です。また、この種の活動を経験している顧客には、一般的なセキュリティのベストプラクティスに従い、認証されたチケット作成ワークフローを設定するよう助言しています。」
上記すべてのケースにおいて、Zendesk顧客がサポートリクエストのメールアドレスを事前に検証していれば、このようなメッセージの悪用は不可能だったでしょう。これを怠ることで、Zendeskクライアントがカスタマーサポートリクエストをより簡単に処理できるようになるかもしれませんが、同時に悪意ある者が送信者のブランドを汚し、破壊的かつ悪質なメール爆弾を仕掛けることも可能にしてしまいます。
翻訳元: https://krebsonsecurity.com/2025/10/email-bombs-exploit-lax-authentication-in-zendesk/
