### AI支援アカウント復旧における欠陥 **Meta**が2026年5月31日に発見し、おそらく4月17日には始まっていたとされるこのインシデントでは、攻撃者は**Instagram**の**High Touch Support (HTS)**ツールの重大な設計上の欠陥を利用しました。このAI支援システムは、ロックされたアカウントへのアクセスをユーザーが回復できるよう設計されています。しかし、別のコードパスにあるバグにより、**HTS**はパスワードリセット要求で提供されたメールアドレスが、対象の**Instagram**アカウントに実際に紐づいているかを適切に検証できませんでした。 この見落としにより、不正な第三者は自身が所有していないアカウントのパスワードリセットリンクを要求し、そのリンクを自身のメールアドレスに送信することが可能になりました。これらのリンクを受け取り、使用することで、攻撃者は二要素認証（2FA）が有効になっていないアカウントにログインし、乗っ取ることができました。 **Meta**のインシデント対応担当法務顧問である**Amber Hannah**氏は、**メイン州司法長官室**に提出されたデータ侵害通知の中でこの脆弱性について詳述しました。「ツール自体は正常に機能し、意図した通りに動作していました。しかし、別のコードパスにあるバグにより、システムはパスワードリセットを要求した個人によって提供されたメールアドレスが、そのユーザーの**Instagram**アカウントに関連付けられたメールアドレスと一致するかどうかを適切に検証しませんでした。」 ### 影響範囲と潜在的なデータ漏洩 当初、広範な問題が報告され、**Meta**は20,225人の**Instagram**ユーザーのアカウントが侵害されたことを確認しました。特にメイン州の管轄区域内のユーザーについては、**Meta**は30アカウントが影響を受けたと報告しました。  **Meta**は、アクセスまたは盗難された個人データに関する確定的な情報はないと述べていますが、アカウント乗っ取りの性質上、攻撃者は広範囲にわたる機密情報にアクセスできた可能性があります。これには、連絡先情報（メールアドレスおよび/または電話番号）、生年月日、すべてのソーシャルメディア投稿およびコンテンツ（写真、動画、ストーリー）、ダイレクトメッセージおよび通信、アカウントアクティビティ、プロフィール情報（経歴、プロフィール写真）、およびその他の接続されたアカウントまたはリンクされたサービスが含まれます。 ### Metaの迅速な対応と是正措置 このエクスプロイトを発見すると、**Meta**は迅速に侵害の封じ込めに取り組みました。同社は**HTS** AI搭載サポートシステムを無効化し、欠陥のあるプロセスによって生成されたすべてのパスワードリセットリンクを無効化することで、さらなる乗っ取りの試みを効果的に阻止しました。 **Meta**のコミュニケーション担当副社長である**Andy Stone**氏は、公に解決を確認し、「問題は解決され、影響を受けたアカウントを保護しています」と述べました。影響を受けた可能性のあるすべてのアカウントは、必須のセキュリティチェックポイントに登録され、影響を受けたユーザーはパスワードをリセットし、再認証して制御を取り戻す必要がありました。 今後、**Meta**は、ツールを再起動する前に適切なメール検証を確実にするために、**Instagram**のリカバリエントリーポイントでの認証チェックを修正することを約束しています。さらに、同社はすべてのプラットフォームにわたる類似のアカウント復旧フローの包括的なレビューを実施し、他の潜在的な脆弱性を特定して是正する予定です。 ### セキュリティ上の不備の繰り返し このインシデントは、**Meta**のセキュリティ上の課題の歴史に加わるものです。過去数年間、同社はアイルランドの規制当局から多額の罰金を科されています。2022年には、**Meta**は**Facebook**ユーザーのデータをスクレイパーから保護できなかったとして2億6500万ユーロ（約2億7550万ドル）の罰金が科され、さらに以前には数百億のユーザーパスワードをプレーンテキストで保存していたとして9100万ユーロ（約1億ドル）の罰金が科されました。2018年のデータ侵害でも2億6400万ドルの罰金につながり、2900万人以上の**Facebook**アカウントの個人情報が漏洩しました。これらの繰り返し発生する問題は、特にアカウント復旧のような機密性の高いプロセスに高度なAIシステムを統合する際に、継続的なセキュリティ監視の極めて重要な必要性を強調しています。