Lapsus$ Hunters、40以上の偽ドメインでZendeskユーザーを狙う
ReliaQuestの脅威調査チームは、「Scattered Lapsus$ Hunters」と呼ばれる悪名高い脅威集団が、広く利用されている顧客サポートプラットフォームであるZendeskを標的とした新たな大規模キャンペーンを発見しました。過去半年間にわたり、40以上のタイプミスを含む偽装ドメインが登録されており、同グループによるサプライチェーン攻撃戦略の激化を示唆しています。
特定された悪意のあるドメインには、「znedesk[.]com」や「vpn-zendesk[.]com」などがあり、これらは正規のZendesk環境に酷似するように巧妙に作成されています。これらのドメインの一部は、Zendeskの認証プロセスが表示される前に偽のシングルサインオン(SSO)ポータルを表示するフィッシングページをホストしており、疑いを持たないユーザーの認証情報を窃取することを目的とした古典的な手口が用いられています。さらに、ReliaQuestは、複数の組織名やブランド名をURL内に含むドメインも確認しており、ユーザーが悪意のあるリンクを信頼する可能性を高めています。
巧妙な手口と攻撃インフラ
発見されたインフラには明確な特徴が見られます。ドメインはNiceNicを通じて登録され、米英の登録者連絡先情報が使用されており、ネームサーバーはCloudflareを通じて隠蔽されていました。これらの登録詳細は、Scattered Lapsus$ Huntersが2025年8月にSalesforceを標的とした以前のキャンペーンで観察されたパターンと酷似しており、計画的なオペレーションの存在がうかがえます。
外部からのフィッシングドメインだけでなく、研究者たちは正規のZendeskポータルに直接、不正なチケットが送信されている証拠も発見しました。これらの偽装された申請は、緊急のシステム管理要求やパスワードリセットの問い合わせといった偽りの口実を用いて、サポートおよびヘルプデスク担当者を標的とし、リモートアクセス型トロイの木馬(RAT)やその他のマルウェアを配布するように設計されています。この多角的なアプローチにより、攻撃者は組織ネットワークを侵害するための複数の経路を確保しています。
SaaSサプライチェーン攻撃の拡大
今回のZendeskに焦点を当てた作戦は、2025年9月に同グループがDiscordのZendeskベースのサポートシステムを侵害し、ユーザー名、電子メールアドレス、請求情報、政府発行の身分証明書情報を含む機密データを暴露させた事件に続くものです。この事件は当初単発に見えましたが、今回の最新の調査結果は、Scattered Lapsus$ HuntersがSaaSプラットフォームを標的とした組織的なサプライチェーン攻撃戦略を実行していることを示唆しています。
最近のTelegram投稿で、同グループは「2026年を待て、現在3〜4つのキャンペーンを実行中だ」と主張しています。別のメッセージでは、「すべてのIR担当者は、今後の年末年始から2026年1月まで、ログを監視するために業務に当たるべきだ。なぜなら#ShinyHuntazzがあなたの顧客データベースを収集しに来るからだ」と警告しています。Zendeskインフラは、これらの発表されたキャンペーンの1つである可能性が高く、同グループが2025年11月に侵害したと主張する顧客成功プラットフォームGainsightへの攻撃を補完していると考えられます。
Scattered Lapsus$ Huntersが顧客サポートプラットフォームに焦点を当てることは、サプライチェーン攻撃手法の洗練された進化を意味します。同グループは以前にもSalesforce、Salesloft、Drift、Gainsightなどの高価値SaaSプラットフォームを標的としており、これらはいずれも広範な組織で導入され、下流の顧客データへのアクセスを可能にします。顧客サポートプラットフォームは、コアインフラと比較してセキュリティ監査が手薄になりがちであるにもかかわらず、攻撃者に認証情報や顧客情報へのアクセスを許すため、魅力的な標的となっています。
Zendesk利用組織への推奨対策
Zendeskを利用する組織は、直ちに堅牢なセキュリティ対策を講じる必要があります。これには以下の内容が含まれます。
- すべての管理者およびサポートアカウントに対して、ハードウェアセキュリティキーを使用した多要素認証(MFA)を義務付けること。
- タイプミスされたドメインを検出するために、プロアクティブなドメイン監視とDNSフィルタリングを展開すること。
- Zendeskチャットを通じて直接メッセージを受け取ることができる従業員を制限すること。
- フィッシングリンクや認証情報要求パターンを検出するために、コンテンツフィルタリングを実装すること。
ReliaQuestは、今後も顧客サポートプラットフォームの悪用が続くと予測しています。組織はこれらのプラットフォームを重要インフラとして扱い、コアシステムに適用するのと同じ厳格なセキュリティ対策を講じる必要があります。悪意のあるドメイン登録パターンの早期検出と、年末年始期間を通じた継続的なセキュリティ監視は、不可欠な防御戦略となるでしょう。