- サイバー犯罪者がMetaのAIカスタマーサポートエージェントを騙し、パスワードリセットコードを転送させることに成功
- 合計100万ドル超の価値を持つ短縮ハンドルアカウントが、Telegramで売りに出される
- AIシステムへの機密タスク委任リスクを浮き彫りにした攻撃手法
サイバー犯罪者がMetaのカスタマーサポートに対してソーシャルエンジニアリング攻撃を成功させました。担当者に本人確認を一切求めることなく、パスワードリセットのプロセスを実行させてしまったのです。
この事件で注目すべき点は、対応した「担当者」が人間ではなく、AIエージェントだったということです。攻撃を公表した研究者たちは、機密性の高い業務をAIに委ねることがいかに危険であるかを強調しています。Metaはこの問題を報告後まもなく修正しました。
著名な研究者であるZachXBTとDark Web Informerによると、サイバー犯罪者はMetaのAIチャットボットと会話を行い、第三者のアカウントに対するパスワードリセットコードを転送させることに成功したとのことです。標的となったのは、数百万人のフォロワーを抱えるプレミアムな短縮ハンドルアカウントで、ブラックマーケットでは高額で売買されるものです。
盗まれたアカウントの売却
研究者たちは具体的に「@hey」と「@jowo」の2アカウントを挙げており、これらはTelegramチャンネル上で「合計100万ドル超」で売りに出されていたと、Cybersecurity Newsが報じています。
研究者たちはTelegram上の複数のハッキングコミュニティで流通する盗難アカウントの出品情報を継続的に追跡していました。
Metaは先週金曜日の夜にこの問題を修正しました。同社はその後の声明で「外部の第一者が一部のInstagramユーザーに対してパスワードリセットメールをリクエストできる問題を修正しました。当社のシステムへの侵害はなく、ユーザーのInstagramアカウントは引き続き安全な状態です」と述べています。
ユーザーに対しては常日頃からソーシャルエンジニアリングやフィッシング攻撃への注意が呼びかけられ、アカウントを守るための方法も周知されています。しかし今回の攻撃は、ユーザーではなくプラットフォーム自体を標的としたものであるため、ユーザー側に取れる対策は何もありませんでした。
それでも、フィッシングやソーシャルエンジニアリングへの最善策は多要素認証(MFA)の導入であることに変わりはありません。ただし、ワンタイムコードをSMS経由で受け取る方式は避けることが重要です。また、非公開のメールアドレスでアカウントを登録しておくことも、有効な防衛策のひとつです。
