概要
- 2024年6月時点でInstagramの複数アカウントが簡単に乗っ取られる脆弱性が発覚
- 攻撃手法は驚くほど単純で、AIサポートの認証フローの不備を突いたもの
- 2要素認証(2FA)も無効化され、復旧が困難な状況
- ブラックマーケットで乗っ取りサービスが売買される事態に発展
- 現在はMetaによって修正済みだが、数週間から数ヶ月間悪用されていた可能性
Instagram乗っ取り事件の全貌
- 2024年6月、 Obama White House などの著名アカウントを含む多数のInstagramアカウントが乗っ取り被害
- 攻撃者は ユーザー名 さえ分かれば攻撃を開始可能
- VPNやプロキシ を使い、被害者の居住地に近いIPアドレスからアクセス
- Instagramの サポートAI に「アカウントが乗っ取られた」と申告
- サポートAIに 攻撃者が管理するメールアドレス への認証コード送信を要求
- 本来ユーザーが使っていないメールでも 追加チェックなし で認証コードが送信される
- 攻撃者はこの認証コードを使い、 パスワードリセットリンク を取得
- 一部ケースでは 動画セルフィー 提出を求められるが、AI生成画像で突破可能
- 2FA(2要素認証)も 完全にバイパス される
- セッションが強制終了され、 元の所有者は復旧不可能
- サポートAIとのチャット以外に 人間のサポート窓口なし
ブラックマーケットでの悪用
- Telegramなどで 乗っ取りサービス が高額で取引
- 短いアカウント名 や有名人アカウントは数十万~数百万ドルで売買
- 例: obamawhitehouse や ocmssf (米宇宙軍トップのアカウント)
- プロパガンダや転売目的でアカウントが利用されるケースも多数
脆弱性の修正とMetaの対応
- 現在は Metaが脆弱性を修正 し、Telegramでの乗っ取りサービスも沈静化
- しかし、 数週間から数ヶ月間 この手法が有効だった可能性
- 1.5兆ドル企業 であるMetaのサポートAIの脆弱性に多くのユーザーが驚愕
- サポートAIの設計や認証フローの再点検の必要性
まとめと教訓
- AIサポートの導入時はセキュリティ設計が最重要課題
- 2FAや既存のセキュリティ手段も AIの設計ミスで無力化 されるリスク
- 乗っ取り被害時は 迅速なパスワード変更・サポートへの連絡 が必要
- ブラックマーケットの存在 がセキュリティリスクをさらに高める要因
- 今後も サポートAIの脆弱性 への注視が必要