出典:Feng Yu / Alamy Stock Photo
ここ数日、複数のユーザーが、Zendeskドメインから送信されてくる多数のスパムメールを受信したと報告している。実在企業が所有するインスタンスが悪用され、しばしばメールのスパムフィルターを回避しているという。Xプラットフォームのあるユーザーは、異なるZendeskインスタンスから800通のメールを受け取ったと報告し、その多くがiCloudの迷惑メールフィルターをすり抜けたと述べた。別のユーザーは、利用したことのないサービスからZendeskメールを受け取ったと報告している。さらに懸念されるのは、スパムメールがどのようにして通過しているのかが依然として不明な点だ。
悪用されている企業のヘルプデスクには、Live Nation、ゲームパブリッシャーのCapcom、Tinderなど、ほか多数が含まれる。
メールの内容はさまざまだが、多くは大手企業による架空の訴訟や、米国政府機関からの法的通知を装ったもののようだ。狙いは、あらゆるスパムメールと同様に、ユーザーから認証情報を奪うこと、初期アクセスを得ること、あるいは金銭を得ることにある。
Zendeskはコメント要請に応じておらず、影響を受けている組織やユーザーが正確にどれほどいるのかも不明だ。しかし、企業のZendeskインスタンス内でのスパム攻撃について、ソーシャルプラットフォーム上にはコメントがあふれていた。
Zendeskのスパムはリレー攻撃の可能性を示唆
ある程度、この種のZendeskスパムは前例がないわけではない。先月、顧客関係管理(CRM)ベンダーは注意喚起を公開し、悪意ある者がZendesk経由でスパムメールを送信していると警告した。ZendeskのCameron Laddは、攻撃者がリレー型スパムを悪用していると記している。こうしたケースでは、攻撃者が設定不備のあるメールサーバーを利用し、本来は正当なドメインから送られたかのように、迷惑メールを送信する。
ユーザーに対してZendeskは、不審なメールを無視するか削除するよう推奨した。Zendeskの顧客に対しては、初回返信トリガーから特定のプレースホルダーを削除し、追加されたユーザーのみがチケットを送信できるようにすることを推奨した。Zendeskは、当時これはいかなる脆弱性や侵害とも関連していないと主張した。
今回の最近のスパムメールの波が同じ問題の一部なのか、それともまったく別のものなのかは不明だ。Redditのr/Zendeskのスレッドの1つでは、コミュニティチームのメンバーが昨日、Zendeskのセキュリティチームが調査中だと述べた。
MicrosoftのリージョナルディレクターでHaveIBeenPwned創設者のTroy Huntは、AI研究企業ElevenLabsからのメールを共有し、「当社のメールチケットシステムに対する大規模スパム攻撃」をめぐる問題について謝罪していた。ElevenLabsは、プロバイダーであるZendeskと協力して問題解決に取り組んでいると述べた。
ソーシャルメディアで見解を示す専門家は、この問題の原因として、攻撃者がヘルプデスクを悪用してユーザーのメールアドレスにスパムメッセージを送っている(標的がヘルプデスクへの問い合わせを送信したと偽り、その結果、標的がリクエストのコピーを受け取る)可能性、または特定のZendeskシステムの設定方法における別の弱点を挙げている。
Dark Readingは追加コメントを求めてZendeskに連絡した。同社の広報担当者は問い合わせの受領を認めたが、記事執筆時点では回答を提供しなかった。
別件として、Reliaquestは11月に報告し、Scattered Lapsus$ Huntersに関連する脅威アクターが、Zendesk環境に対するキャンペーンを準備している可能性があると述べた。これは、ユーザーの認証情報を収集することを目的としたタイポスクワッティングおよび/またはフィッシングのログインページが複数確認され、当該脅威グループに紐づく過去の活動と類似点があったためだ。
翻訳元: https://www.darkreading.com/threat-intelligence/mass-spam-attacks-zendesk-instances
