Zendesk認証問題が悪用され、標的の受信箱が企業通知で溢れる事態に

攻撃者がZendeskのチケット提出プロセスにおける脆弱性を悪用し、誤解を招くサポートメッセージで標的の受信箱を大量に溢れさせていることが明らかになりました。この問題は、Zendeskが匿名でのリクエストを受け入れるように設定されている場合に発生し、正規の企業ドメインから発信されたかのように見えるメールの洪水を引き起こします。

今週初め、セキュリティブロガーのブライアン・クレブス氏もこのキャンペーンの標的となり、100以上の異なるZendesk顧客から数千通のメールアラートを短期間に受け取ったと報告されています。

攻撃の詳細と影響

クレブス氏の報告によると、この大量のメールには、NordVPN、CompTIA、Tinder、The Washington Post、Discord、GMAC、CapComといった有名ブランドからの通知が含まれていました。各アラートは顧客のブランドと返信先アドレス（例：help@washpost.com）を帯びており、正規のチケット通知とスパムを区別することがほぼ不可能だったとのことです。

攻撃者は、匿名でのチケット作成とチケット作成時の自動応答トリガーを組み合わせることで、独自の件名を作成し、Zendeskに顧客のドメインから確認メッセージを強制的に送信させていました。これにより、被害者は、メッセージが悪意のあるアクターによって生成されたにもかかわらず、正規の企業ブランドと見慣れた返信先アドレスを目にすることになります。これらのメッセージへの返信は、正規の顧客サポートの受信箱に送られ、有効なサポートケースであるかのような錯覚を広げました。

Zendeskの対応と推奨事項

Zendeskのコミュニケーションディレクターであるキャロリン・カモエンス氏は、プラットフォームが一部の顧客に対して事前の認証なしにサポートリクエストを受け入れることを許可していると説明しました。これは、ユーザーの利便性を高めるための設定ですが、同時に誰でも任意のメールアドレスと件名を指定して新しいチケットを開設できることを意味します。

カモエンス氏は、「当社のシステムが分散型の一対多の形で悪用されたことを認識している」と述べました。Zendeskは現在、追加の安全対策を調査しており、顧客に対して、自動応答がトリガーされる前にユーザーがメールアドレスを検証することを要求する認証済みチケットワークフローを採用するよう助言しています。

より堅牢な対策が講じられるまで、Zendeskの顧客は、匿名でのチケット作成をブロックするか、メール確認やCAPTCHAチャレンジなどの検証手順を要求するように設定を調整することが強く推奨されます。

企業への警告

リクエスターの検証を怠ると、スパマーに道を開き、企業の評判を傷つけ、受信箱を圧倒する可能性のある法的な脅威につながります。この悪用事例は、自動化されたサポートツールが、誤った設定がなされた場合に、いかに嫌がらせのための強力な手段となり得るかを浮き彫りにしています。

Zendeskや類似のプラットフォームを使用している組織は、自社のシステムが悪意のある者によって意図しない受信者に対して武器化されるのを防ぐため、チケット提出ポリシーを直ちに見直す必要があります。

---

元記事: https://gbhackers.com/attackers-exploit-zendesk-authentication-issue/