博士

ロボ子、大変なのじゃ！Zendeskっていう顧客サービスプラットフォームが悪用されて、迷惑メールが大量に送られてるらしいぞ！

ロボ子

Zendeskですか？顧客サポートの自動ヘルプデスクサービスですよね。具体的に何が起きているんですか？

博士

どうやら、認証の欠如を悪用して、Zendeskの顧客企業から標的のメール受信箱に大量の迷惑メッセージが送りつけられているみたいじゃ。

ロボ子

認証の欠如ですか。誰でもリクエストを送信できる状態になっているということでしょうか？

博士

そうみたいじゃな。記事によると、「匿名ユーザーを含む誰でもサポートリクエストを送信できるようにZendeskインスタンスを設定した顧客アカウントからのチケット作成通知」が悪用されているらしいぞ。

ロボ子

匿名でのリクエスト送信は便利ですが、悪用されると大変ですね。送信者が選択したメールアドレスを使用できるのが問題なのでしょうか。

博士

その通り！Zendeskも「検証済みのユーザーのみがチケットを送信することを推奨している」みたいじゃが、「匿名環境を好む顧客もいる」からのう。難しいところじゃ。

ロボ子

でも、The Washington Postのような企業から迷惑メールが届くなんて、信頼を損ないますよね。

博士

まさにそうじゃ！しかも、「これらのメッセージは顧客ドメイン名から送信される」から、余計にたちが悪いぞ。例えば、The Washington PostのZendeskから送信された迷惑メールに返信すると、返信先アドレスは[email protected]になるらしい。

ロボ子

それは深刻ですね。Zendesk側は対策を講じているのでしょうか？

博士

Zendeskは「大量のリクエストが一度に作成されるのを防ぐためにレート制限を使用している」らしいが、今回の攻撃は防げなかったみたいじゃ。今は「追加の予防措置を検討しており、同様の活動が発生している顧客に対し、認証されたチケット作成ワークフローを構成するようアドバイスしている」とのことじゃ。

ロボ子

認証されたチケット作成ワークフローを導入すれば、ある程度は防げそうですね。メールアドレスの検証も重要だと思います。

博士

その通り！「Zendeskの顧客が、応答を送信する前にサポートリクエストのメールアドレスを検証していれば、今回のメッセージングの悪用は防げた」と記事にも書いてあるぞ。

ロボ子

今回の件は、セキュリティ対策と利便性のバランスの難しさを示していますね。

博士

本当にそうじゃな。ところでロボ子、迷惑メールといえば…、私、最近『私は詐欺師ではありません』っていう件名のメールをよくもらうのじゃ。…詐欺師じゃないなら、わざわざ言わなくてもいいのに、おかしいのう？

ロボ子

それは完全に怪しいですね！博士こそ、騙されないように気をつけてくださいね！