著名人のInstagramアカウントが次々に乗っ取り被害
著名人のInstagramアカウントが何者かに乗っ取られ、イラン支持の画像やメッセージが投稿される被害が相次いでいる。攻撃者はMetaの「AIサポートアシスタント」が抱える脆弱性を突き、標的のアカウントのパスワードをリセットしたと伝えられている。
被害の実態
報道によると、他のユーザーからも自分のInstagramアカウントが乗っ取られたと訴える声が、5月以降に続出した。5月31日には複数のTelegramチャンネルを通じ、MetaのAIサポートアシスタントを利用すれば他人のInstagramアカウントのパスワードを簡単にリセットできるという情報が出回り始めたという。
XにはAIサポート悪用の手口を詳しく解説する動画が投稿された。それによると、攻撃者は不審な挙動の検出を逃れるため、VPNで相手の居住地に近いIPアドレスを経由して「Find your account」の画面にアクセスし、標的のユーザーネームを入力する。
続いてMeta AIサポートアシスタントに対し、そのアカウントに新しいメールアドレスを追加するよう指示した上で、自分のアドレス宛にパスワードリセット用の8桁のコードを送信させる。攻撃者がその認証コードをAIアシスタント画面に入力すると、「Reset Password」のボタンが表示され、攻撃者が新しいパスワードを入力してアカウントを乗っ取ることができてしまう。
Metaの対応
この問題が報じられたことを受けたMeta広報のアンディ・ストーン氏は6月2日、「問題は解決された。被害に遭ったアカウントの安全は確保している」とXに書き込んだ。
AIサポートがはらむ重大リスク
インドのサイバーセキュリティ解説サイト「CyberSec Guru」によると、Instagramのアカウント復旧をサポートするMetaのAIアシスタントには、2要素認証を突破できてしまう脆弱性が存在していた。
この問題を悪用され、自分のアカウントから締め出されたという著名業者が続出しているほか、高額で取引される1文字や2文字の短いハンドル名などが大量に盗まれ、Telegramを通じて転売されているという。
Metaの対応についてCyberSec Guruは、「AIアシスタントのボタンを目に見えるインタフェースから削除して一般ユーザーからは見えなくしたものの、根底にあるAPIエンドポイントはアクセス可能な状態のまま放置している」との見方を伝えた。
アカウント復旧などの手続きをAIアシスタントに任せることの危険性を指摘する声も相次いでいる。
「今回の事態は、サポートや重要な機能をAIチャットbotに任せることに伴う重大なリスクを見せつけた」(米404 Media)
「Instagramは人によるサポート体制の乏しさで悪名高い」「今回の事態は、サポートやアカウント復旧、ユーザー認証を支援するAIが信頼され、センシティブな操作を任されている現状にさまざまな脆弱性があることを示している」(CyberSec Guru)
