　米宇宙軍の幹部やオバマ元大統領時代のホワイトハウスが使っていたInstagramのアカウントが何者かに乗っ取られ、イラン支持の画像やメッセージが投稿される被害が相次いだ。攻撃者は米Metaの「AIサポートアシスタント」が抱える脆弱性を突き、狙ったアカウントのパスワードをリセットしたと伝えられている。

イメージ画像（Adobe Stock）

　報道によると、他のユーザーからも自分のInstagramアカウントが乗っ取られたと訴える声が、5月末にかけて続出した。

　5月31日には複数のTelegramチャンネルを通じ、MetaのAIサポートアシスタントを利用すれば、他人のInstagramアカウントのパスワードを簡単にリセットできるという情報が出回り始めたという。

　XにはAIサポート悪用の手口を紹介する動画が投稿された。それによると、攻撃者は不審な挙動の検出を免れるため、VPNで相手の居住地に近いIPアドレスを経由して「Find your account」の画面にアクセスし、標的のユーザーネームを入力する。

　続いてMeta AIサポートアシスタントに対し、そのアカウントに新しいメールアドレスを追加するよう指示した上で、自分のアドレス宛にパスワードリセット用の8桁のコードを送信させる。攻撃者がその認証コードをAIアシスタント画面に入力すると、「Reset Password」のボタンが表示され、攻撃者が新しいパスワードを入力してアカウントを乗っ取ることができてしまう。

　この問題が報じられたことを受けた米Meta広報のアンディ・ストーン氏は6月2日、「問題は解決された。被害に遭ったアカウントの安全は確保している」とXに書き込んだ。

AIサポートがはらむ重大リスク

　インドのサイバーセキュリティ解説サイト「CyberSec Guru」によると、Instagramのアカウント復旧をサポートするMetaのAIアシスタントには、2要素認証を突破できてしまう脆弱性が存在していた。

　この問題を悪用され、自分のアカウントから締め出されたという著名研究者が続出しているほか、高額で取引される1文字や2文字の短いハンドル名などが大量に盗まれ、Telegramを通じて転売されているという。

　Metaの対応についてCyberSec Guruは、「AIアシスタントのボタンを目に見えるインタフェースから削除して、一般ユーザーからは見えなくしたものの、根底にあるAPIエンドポイントはアクセス可能な状態のまま放置している」との見方を伝えた。

　アカウント復旧などの手続きをAIサポートに任せることの危険性を指摘する声も相次いでいる。

　「今回の事態は、サポートや重要な機能をAIチャットbotに任せることに伴う重大なリスクを見せつけた」（米404 Media）

　「Instagramは人によるサポート態勢の貧弱さで悪名高い」「今回の事態は、サポートやアカウント復旧、ユーザー認証を支援するAIが信頼され、センシティブな操作を任されている現状にさまざまな脆弱性があることを示している」（CyberSec Guru）

FacebookやInstagramもMeta Questと同じアカウントで……新「Metaアカウント」発表
各サービスを横断する単一のパスワードを任意で設定でき、複数のパスワードの管理が不要に。
Meta、AIアシスタント「Meta AI」をInstagramやMessengerでロールアウト
Metaは、昨年のConnectで予告したAIアシスタント「Meta AI」をInstagramなどの同社サービスで展開していくと発表した。同日発表の新LLM「Llama 3」で構築した。まずは英語版のみを数十カ国で提供する。
Instagram、AIで未成年を検出し「ティーンアカウント」に強制設定　米国でテスト開始
Metaは、Instagramの十代ユーザー保護機能「ティーンアカウント」を強化し、AIが未成年と推定したアカウントを自動でティーンアカウント設定に切り替えるテストを米国で開始した。
なりすまし詐欺広告と“誤認”か　「ホリエモンAI学校」、Metaに広告アカウントを凍結される　運営会社は「ずさん」と苦言
「ホリエモンAI学校」を展開するテレワーク・テクノロジーズは19日、Metaから広告アカウントなどの凍結を受けたと発表した。詐欺広告と間違えられた可能性を指摘している。
Instagram、乗っ取られたアカウント復旧ツールの提供開始
Instagramは、アカウントをハッキングされてログインできなくなったユーザーのための復旧ツールを公開した。ツールのページでログインできない理由を選択すると、ケースごとの解決法に誘導される。