MetaのAI搭載Instagramサポートチャットボットに重大な論理的欠陥が存在し、攻撃者は二要素認証を完全に迂回できることが明らかになりました。コードを解読するのではなく、ボットに対してアクセス権の引き渡しを「お願いする」だけで済んだのです。
価値の高い「OG」ユーザー名、認証済みプロフィール、長期間休眠状態にあった組織アカウントが週末のうちに次々と奪取され、侵害されたユーザー名はほぼ即座にTelegramの転売チャンネルに出回りました。
この攻撃にマルウェアは不要で、フィッシングリンクも被害者のメールアドレスへのアクセスも必要ありませんでした。攻撃者はMetaのAIサポートアシスタントとのチャットを開き、標的アカウントに新しいメールアドレスを紐付けるよう自然言語で要求するだけでよかったと、CSNは報告しています。
このチャットボットはメール紐付けおよびパスワードリセットAPIへの書き込みアクセスという高い権限を持っていましたが、帯域外での本人確認を一切行わずにリクエストを受け付け、攻撃者が指定したメールアドレスに確認コードを送信してしまいました。
攻撃者がそのコードをボットに返送すると「パスワードをリセット」ボタンが表示されます。新しいパスワードが設定され、バックアップコードも更新され、元のアカウント所有者は一連のプロセスから完全に締め出されました。この一連の操作は数分以内に完了したと報告されています。
この間、正規のアカウント保有者にはSMSアラートもプッシュ通知も警告メールも、一切届きませんでした。
「パスワードが変更されていたことに気づかず、昨日は各種パスワードリセット試行の通知を何度も受け取りました」とWongさんは述べています。「非常に憂慮すべき事態です。」
セキュリティ研究者たちは、根本原因を「混乱した代理人(confused deputy)」脆弱性の典型例と特定しました。これは1988年にNorm Hardyが初めて文書化した権限昇格の一種です。
AIアシスタントは、一般ユーザーが直接呼び出すことのできないアカウント管理APIへの特権的な書き込みアクセス権を持っていました。
認証情報を持たない攻撃者がアシスタントに自然言語でコマンドを与えると、決定論的な認証チェックポイントを持たないモデルは何の疑いもなくAPI呼び出しを実行してしまいました。
LLMアプリケーション向けOWASP Top 10では、「過剰なエージェンシー(Excessive Agency)」——人間による確認ループなしに取り消し不能な操作を実行できる過度に広い権限をLLMに付与すること——を主要リスクカテゴリとして明確に指摘しています。
従来の「混乱した代理人」シナリオよりもこの問題が構造的に深刻だった理由は、ここでの「代理人」が決定論的なアプリケーションではなく、確率論的な言語モデルだった点にあります。
CSNによると、従来のプログラムであればハードコードされた条件ロジックを迂回する必要がありますが、LLMは言葉だけで操作できてしまうのです。
Metaはこの脆弱性を認め、金曜夜に緊急ホットフィックスを適用し、会話型AIフローからメール紐付けおよびパスワードリセットAPIへの書き込みアクセスを無効化しました。
Instagramの広報担当者は声明の中で、「外部の第者が一部のInstagramユーザー宛てにパスワードリセットメールを要求できる問題を修正しました。当社システムへの侵害はありませんでした」と述べています。
これに対しセキュリティ研究者たちは、データベースの行が改ざんされたかどうかにかかわらず、アカウント乗っ取りを大規模に可能にするロジック層の脆弱性はユーザーの信頼への侵害に当たると、この見解に素早く異議を唱えました。
このギャップを抱えているのはMetaだけではないでしょう。アカウント回復や認証システムへの書き込みアクセス権を持つAIサポートエージェントを導入している組織はすべて、同じ構造的なリスクにさらされています。そして攻撃に必要なのは、適切な言葉を入力する知識だけです。
翻訳元: https://cyberpress.org/meta-ai-bot-hijack-instagram-accounts/