TokyoBlackHatNews

bleepingcomputer.com 5分で読了

Zendeskのチケットシステムが乗っ取られ、世界規模の大規模スパム波が発生

Image

世界中の人々が、保護されていないZendeskサポートシステムを発信元とする大規模なスパム波の標的になっており、被害者からは奇妙で、ときに不安を煽る件名のメールを何百通も受け取ったとの報告が寄せられています。

このスパムメッセージの波は1月18日に始まり、人々が報告したところによると、ソーシャルメディア上で何百通ものメールを受け取ったとされています。

メッセージには悪意のあるリンクや明らかなフィッシングの試みは含まれていないように見えるものの、メールの量が膨大で内容も混沌としているため、受信者にとって非常に紛らわしく、場合によっては不安を感じさせるものになっています。

これらのメールは、カスタマーサービスにZendeskを利用している企業が運営するサポートプラットフォームから生成されています。

攻撃者は、未検証のユーザーでもサポートチケットを送信できるZendeskの機能を悪用しており、その結果、攻撃者が入力したメールアドレス宛てに自動で確認メールが送信されます。

Zendeskはチケットを受領したことを確認する自動返信を送るため、攻撃者は偽のサポートチケットを作成する際に大量のメールアドレスリストを順に試していくことで、これらのシステムを大量スパム配信プラットフォームへと変えてしまうことができます。

影響が確認されたZendeskインスタンスを持つ企業には、 Discord、Tinder、 Riot Games、Dropbox、CD Projekt(2k.com)、Maya Mobile、NordVPN、テネシー州労働局、テネシー州歳入局、Lightspeed、CTL、Kahoot、Headspace、Limeが含まれます。

Image
保護されていないZenDeskインスタンスから送られてくるスパム波
出典: BleepingComputer

メールの件名は奇妙で、法執行機関からの要請や企業の削除要請を装うものもあれば、無料のDiscord Nitroを提供するとしたり、「Help Me!」と書かれていたりするものもあります。多くはUnicodeフォントで書かれており、複数言語で文字を太字にしたり装飾したりしています。

例としては次のようなものがあります:

  • FREE DISCORD NITRO!!
  • TAKE DOWN ORDER NOW FROM CD Projekt
  • LEGAL NOTICE FROM ISRAEL FOR koei Tecmo
  • TAKE DOWN NOW ORDER FROM Israel FOR Square Enix
  • DONATION FOR State Of Tennessee CONFIRMED
  • LEGAL NOTICE FROM State Of Louisiana FOR Electronic
  • 鶊坝鱎煅貃姄捪娂隌籝鎅熆媶鶯暘咭珩愷譌argentine恖
  • Re: TAKE DOWN NOW ORDER FROM CHINA FOR Konami Digital Entertainme
  • IMPORTANT LAW ENFORCEMENT NOTIFICATION FROM DISCORD FROM Peru
  • Thank you for your purchase! 
  • Help Me!
  • Empty titles

メールは正規企業のZendeskサポートシステムから送信されているため、スパムフィルターをすり抜けてしまい、通常のスパムメールよりも侵入性が高く、不安を煽るものになっています。ただし、メールにはフィッシングリンクが含まれていないため、悪意ある行為を行うというより、受信者をからかう目的で設計されているようです。

複数の企業がこのスパム波の影響を受けたことを確認しており、DropBoxや2Kも含まれます。両社はチケットに返信し、受信者に対して心配せずメールを無視するよう伝えました。

「最近、ご自身が送信していないサポートチケットに関する自動返信または通知を受け取った可能性があります。なぜこのようなことが起こり得るのかを明確にし、心配する必要がないことをお伝えします」と2Kは書いています。

「障壁を取り除き、体験を向上させるため、当社のシステムでは、専用のサポートアカウントを作成してメールアドレスを検証しなくても、誰でもサポートチケットの送信、フィードバックの提供、バグ報告ができるようになっています。このオープンな方針により、誰でも任意のメールアドレスを使ってチケットを送信できてしまう可能性があります。」

「アカウント保有者からの認証済みの直接指示がない限り、当社はどのアカウントに対しても対応を行ったり、機微な要求を処理したりすることはありませんのでご安心ください。」

ZendeskはBleepingComputerに対し、今後この種のスパムを検知して阻止するために、同社側で新たな安全機能を導入したと述べました。

「リレースパムに対処するため、新たな安全機能を導入しました。これには、異常な活動を検知し、より迅速に停止することを目的とした監視強化と制限が含まれます」

「当社は、プラットフォームとユーザーを保護するための措置を積極的に講じており、継続的に改善していることを皆さまにお約束します。」

Zendeskは以前、この種の悪用について12月の勧告で顧客に警告しており、攻撃者がZendeskを利用して、同社が「リレースパム」と呼ぶ手法で大量のスパムメールを送っていると説明していました。

同社によれば、組織はチケット作成を検証済みユーザーのみに制限し、任意のメールアドレスやチケット件名を使用できてしまうプレースホルダーを削除することで、この種の悪用を防げるとしています。

翻訳元: https://www.bleepingcomputer.com/news/security/zendesk-ticket-systems-hijacked-in-massive-global-spam-wave/

ソース: bleepingcomputer.com
#Zendesk #アカウント未認証 #サイバー攻撃 #サポートチケット悪用 #スパムフィルター回避 #スパムメール #メールセキュリティ #リレースパム #不正アクセス対策 #企業のカスタマーサポート

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用