2026-02-05 の一覧へ戻るホーム
**Tell HN:** Zendesk のメールスパムが再び増加しています。

2026/02/05 4:26

**Tell HN:** Zendesk のメールスパムが再び増加しています。

RSS: https://news.ycombinator.com/rss

元のHacker News記事へ ↗
要約

Japanese Translation:

概要:
Zendesk の公開ヘルプフォーラムのチケットシステムに、新たなスパム攻撃が発生しました。スパマーはアカウントを持たずにチケットを開設し、悪意あるリンクを埋め込み、GitHub からスクレイピングした著者メールを提供します。Zendesk はそのメールアドレスへチケット内容を転送します。この攻撃は2週間前にフォーラムごとに1〜2通のメールで始まり、今日には数千件もの「サインアップ試行」メッセージが増加し、わずか30分間に何百通ものスパムメールが集中することもあります。スパムパターンは、

{service}@example.com
のようなキャッチ―オールアドレスを使用して既知のすべての Zendesk サイトを標的とし、ランダムなサービス名(例:reddit@example.org、twitch の別名)やイタリアの ISP tiscali.it からの暗号詐欺メールも含まれます。多くの受信者はメールをスパムとしてフラグ付けしますが、見た目は合法的に見えます。
Zendesk の対策としてチケット作成前にアカウント認証を要求するようになりましたが、問題は減少したものの完全には解消されていません。ユーザーは一時的に「Activate account」や「zendesk」というキーワードをブロックしており、さらなる緩和策として DKIM/SPF などのメール認証を強化するか、より広範なポリシー変更が必要になる可能性があります。この件は Zendesk のメール配信実務におけるギャップ、設定に関するサポートスタッフの知識不足、および高席プランではエンジニアによる手厚い構成支援が行われる階層型サポートモデルを浮き彫りにしています。

本文

タイトル
HNへ:Zendeskメールスパムの新たな波—56点(Philpax、1時間前)

Zendeskを利用したメールスパムが再び発生しているようです。過去30分で数百件受信しました。

「ご連絡ありがとうございます。ここ2時間ほどで約5分に一度くらいの頻度で大量に届きましたが、少なくとも今は止まったようです。」

何が起こっているのか?

  • スパマーはZendeskのヘルプフォーラムではアカウントなしでもチケットを作成できることを発見しました。
  • チケットにスパムURLを埋め込み、GitHubコミットログから取得したメールアドレスを「送信者」として設定します。
  • Zendeskは「親切」にそのチケット内容を送信者へ転送し、サービスがオープンリレーとして機能するようになります。

この問題は約2週間前に始まりました。私はGitHubでのみ使用したアドレスに対して、Zendeskホストのフォーラムごとに1〜2件ずつスパムメールを受信し続けていました。この件はHNでも一時的に議論されました:https://news.ycombinator.com/item?id=46685768

最近の変更点

Zendesk はその後、チケット作成前にアカウント認証を要求するようシステムを強化しました。その結果、本日私は「サインアップ試行」メールが数千件(フォーラムごとに1〜2件)届きました。以前よりもはるかに多いです。スパマーは「ラストガスマン攻撃」を仕掛けているようで、Zendesk がメール本文を添付しない設定になった後、既知の Zendesk サイト全てへ試行しており、まだ転送するサイトがあるかどうかを探っています。

パターン

  • スパムは 
    {人気ウェブサイト名(TLDなし)}@example.com
    の形式でよく見られます。私はその特定の受信箱を使っていなくても、キャッチオールアドレス経由で多く届きます。
  • 本日約50件は既にプロバイダー側でスパムと判定されていますが、表面上は「正当」なメールです。
  • Zendesk のメールサーバー全体の評判は大幅に低下している可能性があります。

Zendeskとの個人的経験

以前の会社でメール運用を刷新(トランザクション・マーケティング・サポートフローを分離し、配信ベストプラクティスを実装)した後、Zendesk を導入しました。比較すると Zendesk のアプローチは非常に素朴でした。

  • DKIM・SPF などの基本的な認証が設定されていません。
  • サポートスタッフはこれらの詳細を知らないようで、ガイドでは Gmail アドレスからすべてのメールを転送することさえ推奨しています。
  • 問題はおそらく有料席数(約10席)に起因します。大規模顧客は専任のエンジニアサポートを受け、堅牢なメール設定が行われていると考えられます。

それでも多くのサポート担当者はインターフェースを便利だと感じました。ただし、中程度以上の複雑さを持つメール構成には対応できませんでした。

現在のスパム特徴

  • 「アカウントを有効化してください」等のメールが、ドメイン内のランダムなサービス名(例:
    reddit@example.org
    )へ送られます。
  • Twitch 関連のアドレス(
    pog
    , 
    kekw
    , 
    xqc
    等)が使用されます。
  • イタリア ISP のメールサービス (
    tiscali.it
    ) からの暗号資産詐欺もあります。ISP に問い合わせは試みましたが、別件です。

これらは GitHub アドレスを狙っており、脅威アクターが新しいログイン通知を隠すために使われることが多いです。

直ちに行う対策

10 分で 15 件以上のメールが public なアドレス(Dropbox, Soundcloud, GitLab, Tidelift 等)へ届きました。スパムはドメインハンドル(

diddy@
, 
epstein@
等)にも到達しています。現在、メール本文に「Activate account」や「zendesk」といった語句をブロックしています。

同じ日のほかのニュース

一覧に戻る →

2026/02/05 0:08

「Voxtral Transcribe 2」(ボクセトラル・トランスクライブ 2)

## Japanese Translation: Voxtral は次世代の音声認識モデルを 2 つリリースしました:**Mini Transcribe V2**(バッチ)と **Realtime**(ライブ)。RealtimはApache 2.0 ライセンスで Hugging Face 上で入手可能で、サブ 200 ms のレイテンシーを設定でき、480 ms まで下げられます。480 ms の遅延で字幕用に 2.4 秒のディレイがあり、WER(単語誤り率)が 1–2% 内に収まります。両モデルとも **13 言語**(英語、中国語、ヒンディー語、スペイン語、アラビア語、フランス語、ポルトガル語、ロシア語、ドイツ語、日本語、韓国語、イタリア語、オランダ語)をサポートします。 Mini Transcribe V2 は FLEURS ベンチマークで約 **4 % WER** を達成し、ElevenLabs の Scribe v2 より音声処理速度が約 3 倍速く、API 経由で **$0.003/min** のコストです。Realtime は同等の精度を **4‑B パラメータ** のフットプリントで実現し、エッジデプロイが可能です。また、そのストリーミングアーキテクチャは音声が到着した時点で文字起こしを行い、他の API で一般的なチャンクベースの処理を回避します。 企業向け機能には、スピーカー分離(開始/終了タイムスタンプ付き)、単語レベルのタイムスタンプ、最大 100 語・フレーズまでのコンテキストバイアシング(英語最適化)、ノイズ耐性、および **3 時間** までの録音サポートがあります。Mistral Studio のオーディオプレイグラウンドでは、両モデルを最大 10 ファイル(各ファイル ≤1 GB)でテストでき、スピーカー分離、タイムスタンプ粒度、およびコンテキストバイアシングのオプションがあります。 ユースケースは **会議インテリジェンス、音声エージェント/仮想助手、コールセンター自動化、メディア/放送字幕、コンプライアンスポータル** など多岐にわたり、すべて GDPR/HIPAA 対応のオンプレミスまたはプライベートクラウドデプロイでサポートされます。Voxtral は、GPT‑4o mini Transcribe、Gemini 2.5 Flash、Assembly Universal、Deepgram Nova を上回る最高の価格対性能を誇る転写 API と主張しています。 同社は開発者にチームへの参加を呼びかけており、世界クラスの音声 AI の構築と継続的な製品拡大・将来機能リリースを示唆しています。

2026/02/01 21:43

**Claude Code** クォータが尽きたらローカルモデルに接続します。

## Japanese Translation: **概要:** より安価な Anthropic Claude プランを利用しているユーザーは、コーディング中に日次または週次のクォータ制限に直面することが多いです。この記事では、Claude Code を Anthropic の API ではなくローカルのオープンソースモデルに接続することでこれらの制約を回避する方法について説明しています。実際的な2つの手法を紹介します: 1. **LM Studio v0.4.1** を使用する方法 ― モデルは検索インターフェイス経由でインストール(推奨コンテキストサイズ > 25k トークン)、`lms server start --port 1234` でサーバーを起動し、環境変数 `export ANTHROPIC_BASE_URL=http://localhost:1234` と `export ANTHROPIC_AUTH_TOKEN=lmstudioc` を設定します。次に Claude Code を `claude --model openai/gpt‑oss‑20b` で起動し、Claude 内で `/model` コマンドを使ってモデルの確認または切替えを行います。 2. **Llama.CPP** を直接使用する方法 ― これにより Claude Code はローカルエンドポイントを指すことも可能です。 推奨されるモデルとしては、Z.AI の **GLM‑4.7‑Flash** と **Qwen3‑Coder‑Next** が挙げられています。また、小型で量子化されたバージョンを使用するとディスク容量と GPU メモリを節約できますが、その代償として品質や速度が若干低下する可能性があります。ローカル OSS モデルは遅く、コード生成の質が低下することもありますが、クォータ制限やコストが問題になる際に有効なバックアップ手段となります。最後に、読者にはこの設定を試し、さまざまなモデルをテストして経験を共有するよう奨励しています。

2026/02/05 3:34

インフラ向け Claude コード

## Japanese Translation: > Fluid は、AI エージェントが本番インフラストラクチャのサンドボックス化されたクローンを安全に探索し、その後、自動的に実際のサーバー用の Infrastructure‑as‑Code(IaC)―たとえば Ansible プレイブック ― を生成できる軽量ターミナルエージェントです。 > LLM 単体ではライブシステムの挙動を予測することが難しいため、サンドボックスは実際的なコンテキストを提供します。コマンドはホストと同一 OS、パッケージ、ツールを鏡映した隔離された VM またはクラスター上で実行されます。 > Fluid には安全性が組み込まれています:本番環境への直接 SSH は許可せず、一時的な証明書のみを使用し、すべてのサンドボックスコマンドは監査可能に完全ログ記録され、高リソースまたはインターネット依存の操作は人間の承認が必要です。 > インストールはワンライナー(`curl -fsSL https://fluid.sh/install.sh | bash`)で、ホスト環境を自動的に検出します。 > 提供された例では、AI エージェントがサンドボックス(ID `SBX-demo1234`、IP `192.168.122.50`)に Apache をインストールし、curl で確認した後、`httpd‑setup` プレイブックを生成します。このプレイブックは 4 件のタスク(apt キャッシュ更新、Apache インストール、カスタム `index.html` 作成、サービス起動/有効化)から構成され、任意の Ubuntu サーバーで実行して同じ設定を再現できます。 > コントロールされた監査可能なワークフローをチームに提供することで、Fluid はデプロイリスクを低減し、コンプライアンスを向上させ、AI 主導のインフラ変更を効率化します。