オバマ政権ホワイトハウスおよび米宇宙軍最上級曹長(Chief Master Sergeant of the U.S. Space Force)のInstagram公式アカウントが週末に一時改ざんされ、親イラン的な画像やメッセージが掲載されました。これは、Metaの「AIサポートアシスタント」ボットを騙してアカウントのパスワードをリセットさせる手口がTelegramで拡散されたことによるものです。
Telegramでリリースされたビデオのスクリーンショットとされるもの。MetaのAIカスタマーサポートボットを騙してターゲットのパスワードをリセットさせる手口が映っているとされています。
5月31日、MetaのAIボットが標準的なパスワードリセットのフローの一環として、既存のアカウントにメールアドレスを追加することを難なく受け入れるという情報が、複数のTelegramチャンネルで拡散し始めました。
親イラン系ハッカーがTelegramで公開したビデオには、驚くほどシンプルな攻撃手法が記録されているとされています。その内容は、ターゲットの通常の居住地またはその近辺のIPアドレスを持つVPN接続を使用し、対象アカウントのパスワードリセットを要求したうえで、MetaのAIサポートアシスタントとのチャットを選択するというものです。その後、攻撃者はボットに対して当該アカウントを新しいメールアドレスに紐付けるよう指示すると、ボットは忠実にもそのアドレスへワンタイムコードを送信し、パスワードのリセットが可能になる様子が映像に収められています。
このビデオを投稿したTelegramアカウントは、乗っ取られたInstagramアカウントに親イランの画像・動画・メッセージが掲載されたスクリーンショットも併せて公開しました。また、この脆弱性を利用して複数の価値ある(つまり文字数の短い)Instagramアカウント名を乗っ取ったとし、それらの転売価格は50万ドル超に上ると主張しています。
Metaはビデオの主張に関するコメントの求めに応じていませんが、同社はオバマ政権ホワイトハウスの休眠状態にあったInstagramアカウントが一時的に侵害されたことを認めたと報じられています。セキュリティブログのthecybersecguru.comは、Metaが週末に緊急パッチを適用し、バックエンドのデータベースへの侵害はなかったと明確にしたと報告しています。
「Instagramのヒューマンサポート体制は以前から劣悪なことで知られています」とCybersecguruは記しています。「ロックされたアカウント、特に高価値アカウントを復旧するには、自動チケットシステムとの何週間にも及ぶやり取りが必要になることがあります。Metaが採った解決策は、失ったメールアドレスの再紐付け、パスワードリセットのトリガー、アカウント所有権の確認といった一般的な復旧ワークフローを処理する会話型AIレイヤーの導入でした。このアシスタントは本来、アカウントアクセスの地獄にはまった正規ユーザーの手間を軽減するためのものだったとみられます。」
LumenのBlack Lotus Labsに所属する脅威リサーチャーのIan Goldin氏は、大手オンラインプラットフォームがデリケートなアカウント復旧リクエストの対応にAIチャットボットを活用するケースが増えるなか、私たちは未知のセキュリティ領域に踏み込みつつあると指摘しています。人間のカスタマーサポート担当者がソーシャルエンジニアリングによって不正アクセスを許してしまうのと同様に、AIボットも同じように「助けたい」という性質を持っており、説得や欺きに対して脆弱だと同氏は述べています。
「AIチャットボットは新たな興味深い攻撃対象領域を生み出しており、今後もこうした種類の攻撃が多発することが予想されます」とGoldin氏は語っています。
さまざまなオンラインアカウントを守るには、提供されている多要素認証(MFA)の中で最も堅牢な形式(パスキーやセキュリティキーなど)を最大限に活用することが重要です。今回の件では、Instagramが提供する最も脆弱なMFAの形式——SMSで送られるワンタイムコード——を利用していたとしても、この攻撃を防げた可能性が高いです。Telegramにビデオを投稿したハッカー自身が、MFAが有効になっているアカウントに対してはこの手口が機能しなかったと認めているからです。
翻訳元: https://krebsonsecurity.com/2026/06/hackers-used-metas-ai-support-bot-to-seize-instagram-accounts/
