概要：Zendesk狙いの新たな脅威キャンペーン

セキュリティ研究機関Reliaquestによると、過去のソーシャルエンジニアリング攻撃に関与したハッカー集団が、顧客サービスプラットフォームであるZendeskの環境を標的とした新たな脅威キャンペーンを準備していると警告しています。この動きは、企業が利用するカスタマーサービスシステムに対するサイバー攻撃のリスクが高まっていることを示唆しています。

脅威グループと攻撃手法の詳細

今回のキャンペーンは、「Scattered Lapsus$ Hunters」と関連付けられているハッカー集団によるものと見られています。Reliaquestのブログ記事によると、過去6ヶ月間にわたり、約40ものZendeskを模倣したタイポスクワッティングドメインや偽装ドメインが作成されました。

• これらのドメインの一部は、偽のシングルサインオン（SSO）ポータルを含むフィッシングページをホストしており、ユーザーの認証情報を窃取するために使用される可能性があります。
• ドメインの登録情報には、Cloudflareがマスクしたネームサーバー、米国および英国を拠点とする登録者情報、そしてNiceNikを通じた登録という特徴が見られます。

さらに懸念されるのは、ハッカーが正規のZendeskポータルに不正なチケットを送信している証拠があることです。これらのチケットは、ヘルプデスクやサポート担当者を標的としており、結果としてリモートアクセス型トロイの木馬（RAT）やその他のマルウェアに感染させることを目的としているとのことです。

過去の関連事例と背景

Reliaquestは、今回のZendeskを標的としたキャンペーンが、過去の複数の大規模攻撃と類似している点を指摘しています。

• 今年8月には、同じくScattered Lapsus$ HuntersによるSalesforce環境を狙ったキャンペーンで、同様の要素が確認されています。
• ZendeskとHubspotは、Salesforce経由での顧客データ侵害が発覚したGainsightとの接続を一時停止しました。Google脅威インテリジェンスグループは、Gainsightを介したSalesforce顧客データの侵害が200件以上確認されたと報告しています。
• また、今回のキャンペーンは、Discordが顧客サービスに利用するサードパーティベンダーが攻撃され、約7万人のユーザーの政府発行ID写真や顧客データが流出した事件から2ヶ月後に発生しています。この事件では、ハッカーが身代金を要求していたとされています。

Zendeskからのコメントとセキュリティ対策の重要性

Reliaquestは、これらの調査結果をZendeskと共有したと述べています。Zendeskの広報担当者は、Cybersecurity Diveに対し電子メールで、「当社のセキュリティチームは、フィッシングサイト、不正ドメイン、商標の悪用などの悪意のある活動の可能性を継続的に監視しています」と回答しました。さらに、「新たな脅威には迅速に対応し、影響を受ける関係者に警告し、お客様のセキュリティを確保するために適切な保護措置を講じます」と付け加えています。

このような状況下において、企業は顧客サービス環境のセキュリティ強化を最優先事項とすべきです。従業員に対するフィッシング対策のトレーニングを徹底し、異常な活動を早期に検知するための監視体制を強化することが、サイバー攻撃から企業と顧客を守る上で不可欠となります。

元記事: https://www.cybersecuritydive.com/news/hackers-threat-campaign-zendesk-environments/806666/