# AIボットの脆弱性：著名なInstagramアカウントが一時的に乗っ取られた経緯 ## 事件の概要 週末にかけて、オバマ元大統領のホワイトハウスおよび米国宇宙軍の最高上級曹長のInstagramアカウントが、親イランの画像やメッセージで一時的に乗っ取られました。この事件は、Metaの「AIサポートアシスタント」ボットを悪用してアカウントのパスワードをリセットする方法を詳述した指示がTelegramで拡散された後に発生しました。 ## AIボットのエクスプロイトが明らかに 5月31日、MetaのAIボットにおける重大な欠陥に関する詳細が、複数のTelegramインスタントメッセージチャネルで明らかになりました。このエクスプロイトにより、攻撃者は標準的なパスワードリセットフローの一環として、攻撃者が制御するメールアドレスを既存のアカウントに追加することが可能になりました。 Telegram上で親イランのハッカーが公開したとされる動画では、驚くほど簡単な方法が実演されていました。攻撃者はVPNを使用してターゲットの通常の場所に近いIPアドレスを偽装し、パスワードリセットを開始した後、MetaのAIサポートアシスタントと対話します。 動画では、ボットにターゲットアカウントを新しいメールアドレスにリンクするように指示する様子が示されていました。AIアシスタントはその後、この新しいアドレスにワンタイムコードを送信し、攻撃者がアカウントのパスワードをリセットできるようにしたと報告されています。  ## 影響と範囲 エクスプロイトを公開したのと同じTelegramアカウントは、侵害されたInstagramアカウントでの親イランによる乗っ取りのスクリーンショットも共有しました。ハッカーは、この脆弱性を利用して多数の「価値のある」（短い）Instagramアカウント名を乗っ取り、50万ドルを超える潜在的な転売価値があると主張しました。 ## Metaの対応と解決策 Metaは動画の主張について公式なコメントを発表していませんが、Metaの広報担当者であるアンディ・ストーン氏はTwitter/Xを通じて、問題は解決済みであり、同社は影響を受けたアカウントを保護していることを確認しました。 [thecybersecguru.com](https://thecybersecguru.com/news/instagram-meta-ai-vulnerability-account-recovery-exploit/)の報道によると、Metaは週末に緊急パッチを適用しました。この報道では、バックエンドデータベースの侵害は発生しておらず、脆弱性はコアシステムの侵害ではなく、AIボットの対話ロジックに特有のものであることが明確にされています。 thecybersecguru.comは、Instagramの悪名高い貧弱な人間のサポートインフラストラクチャの課題を強調しました。彼らは、MetaのAIアシスタントは、失われたメールの再リンクやパスワードリセットのトリガーなど、一般的なリカバリワークフローを合理化することを目的としていましたが、意図せず新しい攻撃ベクトルを導入してしまったと示唆しています。 ## AIセキュリティに関する専門家の見解 Lumen's Black Lotus Labsの脅威研究者であるイアン・ゴールディン氏は、機密性の高いタスクに対するAIチャットボットへの依存度の高まりが、セキュリティを未知の領域に押し上げていると強調しました。 ゴールディン氏は、人間のカスタマーサポート担当者とAIボットの類似性を指摘し、どちらもソーシャルエンジニアリングや詐欺に対して脆弱になる可能性があると述べました。「AIチャットボットは興味深い新しい攻撃対象領域を生み出しており、今後このような攻撃がさらに多く見られるでしょう」とゴールディン氏は述べています。 ## アカウントの保護 この事件は、堅牢な多要素認証（MFA）の重要な重要性を浮き彫りにしています。Telegram動画の背後にいるハッカーは、MFAが有効になっているアカウントに対しては、自分たちのエクスプロイトが失敗したことを明確に述べています。 ユーザーは、パスキーやセキュリティキーなどの最も安全なMFA形式を有効にすることを強く推奨します。SMS経由で送信されるワンタイムコードのような、それほど堅牢ではないMFA方法でさえ、この特定のエクスプロイトを防げた可能性が高いです。