Meta、AIチャットボット悪用により数千のInstagramアカウントがハッキングされたことを確認

Metaは、同社のAIチャットボットが悪用されたことにより、数千のInstagramアカウントがハイジャックされたと発表した。メイン州司法長官事務所に提出されたデータ漏洩通知書によると、少なくとも20,225のアカウントが影響を受け、そのうち30件はメイン州内のユーザーである。この数字は、このハッキングキャンペーンの規模と期間を初めて明らかにするものだ。

このセキュリティインシデントは、MetaがInstagram向けに開発したAI支援アカウント復旧システムに関連している。ハッカーはこのシステムの脆弱性を突き、AIチャットボットにパスワードリセットリンクをアカウント所有者のものではなく、攻撃者が管理するメールアドレスに送信させることに成功した。Metaは通知書で「ツール自体は正常に機能していたが、別のコードパスのバグにより、パスワードリセットを要求するユーザーが提供したメールアドレスがアカウントに登録されたものと一致するかどうかをシステムが正しく検証できなかった」と説明している。その結果、攻撃者が未登録のメールアドレスを提供すると、システムは要求を拒否する代わりに誤ってパスワードリセットリンクを送信してしまった。

パスワードリセットリンクを入手したハッカーは、被害者のパスワードを変更し、アカウントを完全に乗っ取ることができた。これにより、連絡先情報、生年月日、プロフィール情報、さらには投稿やダイレクトメッセージ、アカウントアクティビティへのアクセスが可能になった。Metaは現時点で個人情報が閲覧されたかどうかは「不明」としているが、影響を受けたユーザーにはパスワードのリセットと安全なチャネルを通じた再認証を指示した。

この攻撃は4月17日頃から今週Metaが脆弱性を修正するまで続いた。Metaは現在AIチャットボットを無効にし、アカウントリセットを可能にするコードパスを削除した。さらに、同様のインシデントを防ぐために他のプラットフォーム上のチャットボットも確認している。脆弱性が悪用された具体的な経緯は明らかになっていないが、Metaは先に数千人の従業員を解雇し、経営陣に株式インセンティブを与えながらAIへの投資を強化している。現時点でデータへの不正アクセスの証拠はないが、Metaは二要素認証の有効化を推奨している。この事件は、AIシステムのセキュリティを常に監視し改善する必要性を改めて強調するものである。