結論から言うと、私たちにもわかりません。
Discord、Riot Games、Dropboxなど、信頼されている企業のZendeskインスタンスから送られてくるメールによって、受信箱やキューが大量のメールで埋め尽くされている、という苦情が相次いでいます。
Zendeskは、企業が顧客とのコミュニケーションを管理するのを支援するカスタマーサービス/サポート用ソフトウェアプラットフォームです。チケット、ライブチャット、メール、電話、ソーシャルメディアを通じたコミュニケーションに対応しています。
中には、こうしたメールを1,000通以上受け取ったと苦情を述べる人もいます。奇妙なのは、現時点ではこれらのメールに悪意のあるリンクやテックサポート詐欺の電話番号、あるいはフィッシングの類が含まれているという報告がないことです。
加害者がこれらのシステムからメールを大量に送れるのは、Zendeskが、本人のものではないメールアドレスを使って偽のサポートチケットを作成できてしまうためです。影響を受けた企業がチケット送信を認証済みユーザーに制限していない場合、システムは入力されたメールアドレス宛てに確認メールを送信します。
Zendeskは12月の注意喚起で、この手法について警告し、これを「リレースパム」と呼びました。要するに、攻撃者がプロセスの正当な自動化部分を悪用する例です。私たちは以前にも類似の攻撃を見てきましたが、それらは常に攻撃者にとって明確な目的がありました。一方、今回のケースにはそれが見当たりません。
とはいえ、使われている件名の中には、明らかにクリックベイト的なものもあります。例をいくつか挙げます。
- FREE DISCORD NITRO!!
- CD Projektからの削除命令を今すぐ実行
- Square Enix宛て:イスラエルからの削除命令を今すぐ実行
- テネシー州からの寄付が確認されました
- ルイジアナ州からの法的通知(Electronic宛て)
- ペルー発:DISCORDからの重要な法執行機関通知
- ご購入ありがとうございます!
- ルーマニアからのBinanceサインイン試行
- Take-Two interactiveからの法的要求
つまり、これは誰かがシステムをテストしている可能性もありますが、同様に、システムをかき乱して混乱を生み出すことを楽しんでいる人物の可能性もあります。Zendeskに恨みがあるのかもしれません。あるいは、メールに添付ファイルを付けて送る方法を探しているのかもしれません。
いずれにせよ、ZendeskはBleepingComputerに対し、今後この種のスパムを検知して阻止するための新しい安全機能を自社側で導入したと述べました。ただし企業側には、チケットを送信できるユーザーと、送信者がチケットに付けられるタイトルを制限することが推奨されています。
警戒を怠らないでください
私たちが確認したメールでは、チケット内のリンクは正当なもので、影響を受けた企業のチケットシステムを指していました。そして攻撃者が操作できるはずのメールの部分は、チケットのタイトルと件名だけです。
しかし、関係者は皆「メールは無視してよい」と言うものの、適切な程度の不信感を持って扱うのは決して間違いではありません。
- 反応せずにメールを削除するか、アーカイブしてください。
- 自分でチケットを送信していない場合はリンクをクリックしないでください。また、チケットに記載された電話番号には電話しないでください。確認済みの連絡手段から問い合わせてください。
- チケット送信者が制御できるメールの部分に記載された指示は無視してください。
