1月中旬以降、世界的に不規則な電子的連絡が急増し、ユーザーの間に広範な困惑を引き起こしている。この洪水の引き金となったのはZendeskのカスタマーサポート基盤に存在した脆弱性で、悪意ある者たちがこれを悪用し、大規模なスパム拡散の道具へと変えた。
このデジタルな氾濫の最初の波は1月18日に記録された。受信者は、警戒心を煽るものから荒唐無稽なものまで幅広い件名のメッセージを数百通受け取ったと報告している――「緊急の法執行機関からの照会」、 「DISCORD NITRO無料」、あるいは「助けて!」といった切迫した懇願などだ。
一部の件名には装飾的な多言語文字が付け加えられ、混乱の感覚をさらに増幅させていた。注目すべきことに、これらの通信には悪意あるハイパーリンクや露骨なフィッシングの策略は見当たらず、主目的は人々を混乱させ、苛立たせることにあるようだった。
この悪用の核心は、事前のメール認証なしにサポートチケットを送信できるZendeskのシステム設定にある。この見落としを突き、匿名の者たちが無作為な個人の身元を用いてサポートフォームを埋めた。その結果、サービスは何も知らない被害者に対して自動的に「チケットを受け付けました」という通知を送信した。認証の欠如と無制限の自動化が相まって、正規の企業サポートシステムが大規模なメール送信キャンペーンの費用を肩代わりする形となった。
影響はDiscord、Tinder、Riot Games、Dropbox、CD Projekt、Maya Mobile、NordVPNに加え、テネシー州労働・労働力開発局のような政府機関を含む、数十の著名組織の顧客に及んだ。Kahootのような教育プラットフォーム、Headspaceのようなウェルネスサービス、Limeのような都市モビリティ企業も同様に影響を受けた。Dropboxや2Kといった組織はこの事案を正式に認め、システムの完全性は損なわれていないとユーザーに安心を与えている。
2Kは、フィードバックを円滑にするためサポートの仕組みが登録なしの送信を可能にしていると説明しつつも、機微なアカウントデータに関わる問い合わせは厳格な認証なしには決して処理されないと明確にした。危機への対応として、Zendeskは防御態勢を強化している。同社は活動監視の強化と、スパム行為の試みを迅速に特定するための制限措置の導入を発表した。さらに管理者に対し、チケット作成を認証済みユーザーのみに限定する権限があることを改めて喚起し、任意の件名や受信者アドレスを指定できる能力を無効化できるとした。
翻訳元: https://meterpreter.org/the-support-trap-how-hackers-turned-zendesk-into-a-global-spam-engine/
