Zendesk使ったスパムメールを多数のユーザーが受信：「メールボム」を可能にする反射攻撃の仕組みとは

佐々山 Tacos

2026.01.20

Zendesk使ったスパムメールを多数のユーザーが受信：「メールボム」を可能にする反射攻撃の仕組みとは

The CyberSec Guru – January 19, 2026

多数のユーザーがSNS上で最近、さまざまな企業から「Support Ticket Received（サポートチケットを受け付けました）」などと記されたEメールを何百通も受信したことを報告。これらのスパムメールは各企業のZendeskインスタンスを送信元としていたものの、Zendesk自体が侵害されたわけではなく、これらのインスタンスの「構成設定」によりZendeskを悪用することが可能になっていただけだという。このメールボム攻撃の仕組みや考え得る動機などについて、The CyberSec Guruが解説している。

多数ユーザーがスパムメール受信を報告

Twitter/XやReddit、またサイバーセキュリティフォーラムなどでは、ユーザーらが相次いでZendeskからのスパムメールを受信した旨を投稿。ユーザーの中には、1時間たらずで800通ものメールがさまざまなZendeskインスタンスから送られてきたと報告するユーザーもいたという。これらのメールの件名には、例えば以下のようなものがあったとされる。

「Request Received: Account Suspension Imminent」（和訳：【ご連絡受付】アカウント停止が間近に迫っています）
「Ticket #99283: FBI Investigation Opened」（和訳：【チケット #99283】FBI の調査が開始されました）
「Hello Games Support: We received your request」（和訳：【Hello Games サポート】お問い合わせを受け付けました）
「Electrocompaniet: Confirming your ticket」（和訳：【Electrocompaniet】チケット受付のご確認）

「ハッキング」によるものではない

Zendeskはカスタマーサポートを効率化するSaaSツールで、メールやチャット、電話、SNSなどさまざまなチャネルからの問い合わせを一元管理できる機能を備える。今回のスパムメールはいずれも企業の正規Zendeskインスタンスから送信されていたため、送信ドメイン認証（SPF / DKIM / DMARC）チェックをパスし、iCloudやGmailのスパムフィルターに引っかかることなく受信ボックスに届いていた。

スパムを受信したユーザーらによると、これらのメールは以下を含むさまざまな企業から送られていたという。

Hello Games（英国のゲーム開発会社）
italki（香港発のオンライン語学学習プラットフォーム）
Fourth（ホスピタリティ業界向けの労務管理・在庫管理ソフトウェア）
Electrocompaniet（ノルウェーのハイエンドオーディオメーカー）
Ledger（暗号資産ウォレット）
Moog Music（米国のシンセサイザーメーカー）
Glassdoor（米国発の就職支援サイトで、現在はリクルートの子会社）

The CyberSec Guruによれば、これらの企業は必ずしもハッキングされたわけではなく、ヘルプデスクソフトウェア（Zendesk）を悪用されただけだという。The CyberSec Guruは、スパム送信に使われた企業自身も被害者であり、今ごろ何万通もの偽の問い合わせチケットに悩まされているだろうと説明している。

「Zendesk悪用」の仕組み

The CyberSec Guruは、このメールボム攻撃は「反射攻撃」であると指摘。具体的には、以下のような条件・流れで大量のスパム送信が可能になっているという。同様の説明は、Zendesk自身のヘルプページでも確認することができる。

【前提条件：「匿名でのチケット作成」を許可する構成設定】

多くの企業が、Zendeskをできる限り「ユーザーフレンドリー」になるような設定にしており、「匿名でのチケット作成」が可能となっている。しかしこれは、ユーザーだけでなくボットも含め、カスタマーサポートページ（例：support.examplecompany.com）にアクセスできる誰もが、ログインすることなくヘルプリクエストを提出できることを意味する。

【攻撃の仕組み】

攻撃者がサポートページ入力フォームの「お客様のメールアドレス」欄に、標的ユーザーのメールアドレスを入力。この作業にはスクリプト（ボット）が使われ、多数の異なる企業のWebページ上の何千件ものフォームへ即座にアドレスが入力される。
アドレスの入力を終えたボットが「提出」をクリックすると、当該企業のZendeskシステムは「顧客からのサポートリクエストがあった」と考え、入力されたアドレス宛に速やかに「受付確認メール」を自動送信する。
例えば上記の作業が5,000社のサポートページで実施されれば、ユーザーの受信ボックスは5,000通のスパムメールで埋め尽くされることになるという。

【「FBIの捜査」などの文言の挿入】

前述の通り、ユーザーの中には「FBIによる捜査が始まった」などと伝える内容のメールが送られている。これは、通常Zendeskのチケットには、「顧客が送信したメッセージ」のコピーが含まれるようになっているため。攻撃者はこれを利用し、サポートページに入力する際の問い合わせ内容に、脅しのような内容を入力するという。この手段で、例えば以下のようなメールを送ることが可能になるとされる。

差出人：Support @ Hello Games
宛先： [標的ユーザーのメールアドレス]
件名：お問い合わせを受け付けました
本文：
以下のお問い合わせを受け付けました：＞「あなたのデバイスをハッキングしました、あなたは今FBIに指名手配されています。このウォレット…に5ビットコインを支払ってください」

攻撃者の動機は？

攻撃者がこのようなメールボム攻撃を仕掛ける動機について、セキュリティ研究者の間では以下3つの仮説が提唱されている。

仮説①：「煙幕」作戦

最も有力視されているのが、クレジットカード情報を盗んだハッカーによってよく使われる「煙幕」作戦のためという仮説。例えばハッカーが、盗み取ったカード情報を使って2,000ドルのPCをAmazonで購入した場合、カード保有者（被害者）にはAmazonからの購入確認メールが届き、被害者は身に覚えがない購入だった場合これをキャンセルすることができる。しかしPC購入とこの被害者に同時にメールボム攻撃を仕掛け、メールボックスを800通ものスパムメールでいっぱいにすれば、Amazonからの通知が埋もれてしまう可能性が高くなる。結果として、攻撃者は被害者に気づかれることなくPCを入手することができる。

仮説②：レピュテーション破壊

もう一つの仮説は、競合企業や荒らし目的のハッカー（トロール）が、当該企業（例：Hello Games）のメールレピュテーションを破壊しようとしている可能性があるというもの。もしもHello Gamesが1時間で50,000通ものスパムメールを送信したとなれば、同社のドメインがGmailのブラックリストに追加される恐れがある。そうなれば、事業が深刻な打撃を受けかねない。

仮説③：フィッシング

今回送られたスパムメールの中には、「この問い合わせチケットをキャンセルする」や「お問い合わせケースを確認する」といったリンクが含まれていた。これらのリンクは、認証情報の窃取を狙うフィッシングサイトに遷移させるものかもしれないと指摘されている。

CAPTCHAの実装で防止を

The CyberSec Guruは、今回の問題はZendeskのコード内のソフトウェアバグによるものではなく、構成設定の判断に関するものだとした上で、「ある著名なサイバーセキュリティアナリスト」の以下の言葉を紹介している。

「これは、2020年代版の『オープンリレー問題』だ。企業はスムーズなサポート提供を重視するあまり、CAPTCHAを導入していない。Zendeskにはこれを防ぐためのツールが用意されているが、デフォルトでは有効化されていない。『問い合わせチケット送信時の CAPTCHA』が業界標準になるまでは、こうした問題は今後も繰り返されるだろう」

実際にZendeskは「メールボム攻撃」に関するアドバイザリを過去に公開しており、その中でCAPTCHAの有効化を含む以下の対策を推奨している。

匿名ユーザーからのリクエストに対してCAPTCHAを有効化する
登録ユーザーにのみ、問い合わせチケットの送信を許可する
チケット作成数の急増が見られないか、モニタリングを行う

しかし、多くのZendeskインスタンスではレガシーな設定がそのまま残っているため、悪用に対して無防備な状態になっているという。

このように、Zendeskを利用している企業にはCAPTCHAの実装などが推奨されるほか、スパムを受信したユーザーにとっては、「仮説①」の場合を想定してAmazonなどから購入確認メールが届いていないか受信ボックスをチェックすることが重要になる。The CyberSec Guruはまた、攻撃者は過去に漏洩したデータベースなどから標的ユーザーのアドレスを入手している恐れがあるため、HaveIBeenPwnedを利用して自身のアドレスがどこで流出しているのかを調べることも推奨している。