Instagram著名アカウントが相次ぎ乗っ取られる 原因はMetaのAIサポートか

　先週末、Instagramの著名アカウントが複数ハッキングされたという話を耳にした人もいるだろう。中でも最も大きな被害といえるのが、米国のBarack Obama元大統領のホワイトハウス関連アカウントだ。 　あまり知られていないのは、ハッカーがそれほど苦労する必要がなかったとされる点だ。MetaのAIカスタマーサポートチャットボットが、事実上アカウントを引き渡していたという。 　404 Mediaによると、ハッカーはMetaのAIサポートチャットボットに対し、標的アカウントにひも付けられたメールアドレスの変更を依頼した。その後、本人確認を求められることなく、ボットにパスワードリセットを開始させることに成功したという。AIはハッカー自身のメールアドレスにアクセスコードを送り、ハッカーはそのコードをチャットに貼り付けた。するとAIは「Reset Password」ボタンを表示し、そのボタンを使ってパスワードを変更し、アカウントを乗っ取ることができた。 　Xには、この手順を紹介する編集済みの動画まで投稿されている。ハッカーはVPNを使って標的ユーザーの所在地にいるように見せかけ、AIはすぐに依頼に応じたとされる。ハッカーはどの時点でも、ユーザーのメールアドレスや元のパスワードを必要としなかったという。 　このセキュリティ侵害では、化粧品小売りのSephoraや、米宇宙軍の曹長であるJohn Bentivegna氏のアカウントなどが被害を受けた。影響を受けたアカウントの総数は不明だが、週末にはRedditやXで、セキュリティ研究者のJane Wong氏など多くのユーザーがハッキング被害を報告した。 　Wong氏はXで「知らないうちにパスワードが変更され、昨日は一日中、異なるパスワードリセットの試行が続いていた」と述べた。「そして、InstagramのiOSアプリから何度もログアウトさせられた。かなり気掛かりだ」 ハッキングはどのように起きたのか 　問題はほぼ全面的に、Metaのカスタマーサポートが現在AIによって運用されていることに起因するとみられる。Metaは3月にこの切り替えを行い、「パスワードの更新やプロフィール設定などのアカウント問題について、24時間365日のサポート」を可能にすると説明していた。 　しかし、AIチャットボットがプロセス全体を処理していたため、不審な動きが始まっても人間が介入できなかった。その結果、ハッカーはソーシャルエンジニアリング型の攻撃を実行し、誰かが気付くまでに同じ手口を何度も成功させることができたとみられる。 　Cyber Security Newsによると、この脆弱性を最初に公にしたのは、XでZachXBTとDark Web Informerを名乗るセキュリティ研究者らだ。それまでに複数の著名アカウントが乗っ取られていた。Dark Web Informerは、これらの著名アカウントの多くがリアルタイムで売買されていく様子を追跡。それによると、一部のアカウントはまとめ売りされ、提示価格は100万ドル（約1億6000万円）だった。 　Instagramの広報担当者であるAndy Stone氏はXへの投稿で、この脆弱性はすでに修正されたと述べた。404 Mediaは、Metaが「影響を受けたアカウントの安全確保」を進めていると報じている。 　Metaはコメント要請にまだ回答していない。 同様の攻撃から身を守るには 　このソーシャルエンジニアリング攻撃は、多要素認証（MFA）を有効にしているアカウントには通用しなかったとされている。こうしたアカウントでは、認証アプリにコードが保存されているか、テキストメッセージでコードを受け取る仕組みになっている。MFAの設定がない場合、1回限りのリセットコードは任意のメールアドレスに送信されるようで、ハッカーはコードをそのまま入手できたという。 　自分を守る最善の方法は、Metaのすべてのプラットフォームで利用できる多要素認証を有効にすることだ。100％の安全を保証するものではないが、パスワードだけの場合よりははるかに安全であり、今回の攻撃も防げた可能性が高い。 　アカウントの安全性を高めるためにできることはほかにもある。利用可能な場合はパスキーを使うことや、アカウント認証情報を見つけにくくするために非公開のメールアドレスを使うことなどだ。 この記事は海外Ziff Davis発の記事を4Xが日本向けに編集したものです。