2025/10/17 gbhackers — Zendesk のチケット送信プロセスの脆弱性を発見したサイバー犯罪者が、ユーザーを欺く偽のサポート・メッセージを大量に送信している。匿名リクエストを受け入れるようにコンフィグされているサービスが悪用され、正当な企業ドメインから送信されたように見える、大量の悪意のメールが生成されている可能性がある。今週の初めにセキュリティ・ブロガーの Brian Krebs が、この嫌がらせの標的にされ、100社を超える Zendesk 顧客から、数千件ものメール・アラートを受信することになった。
KrebsOnSecurity の報告によると、この偽アラートに含まれるのは、NordVPN/CompTIA/Tinder/The Washington Post/Discord/GMAC/CapCom といった有名ブランドから送信されたとする通知である。
それぞれのアラートには、顧客のブランド名と返信先アドレスが記載されているため、スパム・メールと本物のチケット・メールを区別することはほぼ不可能であった。
以下は、The Washington Post から送られてきたとされるメッセージの1つである。
大量のなりすましを可能にする匿名チケットの作成
Zendesk の Communications Director である Carolyn Camoens は、「このプラットフォームの一部の顧客は、事前確認なしでサポート・リクエストを受け付けられるようになっている。したがって、こうした種類のサポート・チケットが、顧客のワークフローの一部となる可能性がある」と説明している。
このコンフィグを選択して、従業員の負担を軽減する企業があるはずだが、それが意味するのは、新規のチケットを作成する誰もが、任意のメール・アドレスと件名を指定できてしまうという欠陥である。
さらに、匿名での送信と自動返信トリガーを組み合わせる攻撃者は、独自の件名を作成し、顧客のドメインからの確認メッセージを、Zendesk から送信させることが可能になる。
それにより、悪意の人物が作成したメッセージであっても、被害者が目にするのは、正当な企業ブランドと、”help@washpost.com” のような見慣れた返信先アドレスとなる。
これらのメッセージへの返信は、正当なカスタマー・サポートの受信トレイに戻され、有効なサポート・ケースであるという幻想を広めてしまう。
Carolyn Camoens は、「当社のシステムが、分散型の Many-against-One 方式で、ユーザーに対して悪用されたことを認識している」と述べている。
Zendesk は、追加の安全対策を検討している最中であり、自動返信がトリガーされる前にユーザーがメールアドレスの確認を必要とする、認証済みのチケット・ワークフローを採用するようユーザーにアドバイスしている。
より強力な対策が導入されるまでの間、Zendesk のユーザーに対して推奨されるのは、匿名によるチケット作成のブロックや、メール確認および CAPTCHA チャレンジなどの確認手順を必須にするように、コンフィグを変更することだ。
リクエスト元の検証を怠ると、スパマーや法的脅威にさらされる可能性があり、自社の評判を傷つけ、受信トレイを圧迫することになる。
この悪用が浮き彫りにするのは、自動サポートツールが誤って設定された場合に、きわめて強力な嫌がらせの手段が生じることである。
Zendesk や類似のプラットフォームを使用している組織にとって必要なことは、自社のシステムを悪用する脅威アクターが、受信者を攻撃するのを防ぐために、今すぐチケット送信ポリシーを見直すことである。
この問題は、Zendesk の自動応答ワークフローとコンフィグの組み合わせに起因しています。匿名チケット作成を許可するコンフィグにより、攻撃者が任意の差出人や件名でチケットを生成し、自動返信が正規ドメイン風の送信元や返信先を付与するため、受信者には本物と判別しづらくなっています。さらに大量送信は、匿名リクエストの自動化と返信トリガーの連鎖によって増幅され、検証やフィルタを想定しないワークフロー設計が被害を拡大していると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Zendesk で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.