複数のInstagramユーザーが、攻撃者によってアカウントを乗っ取られる被害に遭いました。攻撃者はMetaのAI搭載サポートツールを騙し、自分が正規のアカウント所有者であると信じ込ませたのです。
多くのケースで、被害ユーザーはアクセスを回復できていません。同プラットフォームのサポートがAI・チャットボットのみで完結しており、人間のサポート担当者が介在しない自動対応に依存しているためです。
月曜日、希少かつ高価値なアカウントの所有者が相次いで突然アクセスを失ったと報告しました。被害者たちは顔認証によって本人確認を済ませており、二要素認証(2FA)などのセキュリティ対策も有効にしていたと主張しています。
被害を受けたアカウントの中には、かつてオバマ政権のホワイトハウスチームが使用していたもの、アプリ研究者のJane Manchun Wong氏のアカウント、そして@heyや@kornなどが含まれています。
@kornアカウントの所有者は、バンド本人がこのアカウントを公式に使用したことはなく別のアカウントを利用していると述べたうえで、Metaの回復メカニズムへの不満を表明しました。時間を無駄にするだけのループに陥ってしまったというのです。
「人間のサポートにつながろうと6時間費やしたが、MetaのサポートAIから返ってきたのは壊れたリンクが4つ立て続けに届いただけだった」と、Kornelと名乗るユーザーは説明しています。
「一方のAIがアカウントを盗み、もう一方のAIは取り返せない。どこにも人間が存在しない——そんな状況に至ってしまった」と@kornアカウントの所有者は述べています。
一部の報道によると、今回のアカウント乗っ取り攻撃は非常に単純な手口だったとのことです。MetaのAIアシスタントとチャットで会話し、攻撃者が正規の所有者であると思い込ませ、登録メールアドレスを変更させるよう誘導するだけで成立しました。
乗っ取りの手順はまずアカウントがハッキングされたとして「パスワードを忘れた」プロセスを起動することから始まります。InstagramのAIサポートがセルフィーによる本人確認を求めると、攻撃者は標的のアカウントから写真を入手し、AI動画生成ツールでアニメーション化したうえで、Metaに送信して確認を通過させます。
Andréと名乗るユーザーによると、「MetaのAIは本物のセルフィーとAI生成の顔動画を区別できないため、あっさりと受け入れてしまう」とのことです。また、この乗っ取り手法は2FAによる保護をも回避できると付け加えています。
「その後、アカウントを取り戻そうとしてもチャットボットと話すだけで、何も解決できない。人間にエスカレーションする手段もない。ただ途方に暮れるだけで、大切な資産は失われ、頼れる相手が誰もいない」とAndréは述べています。
一部の報告では、攻撃者がVPNサービスを利用して標的の普段の接続地域から接続しているように見せかけ、追加のセキュリティとして設けられている複雑なログインフローをトリガーするジオロケーション確認を回避したとされています。
メールアドレスを変更した後、攻撃者はパスワードのリセット手続きを開始し、アカウントへのアクセスに必要なセキュリティコードを受け取ることができます。
一部のオンライン報告では、Instagramの@eおよび@fという1文字アカウントがアクティブなエクスプロイトによって取得されたとされています。ただし、内部アクセス権限を持つ人物がユーザー名を確保したものだという反論もあり、BleepingComputerはいずれの主張も独自に確認することができていません。
1文字のSNSアカウントは極めて希少であるため、ブラックマーケットでは高値がつきます。通常、数万米ドル規模の取引価格となっています。
Metaはまだ公式の声明を発表していませんが、同社の広報担当バイスプレジデントのAndy Stone氏が、被害を受けたユーザーへのSNS上での返信の中で「問題は解決済みであり、影響を受けたアカウントのセキュリティを確保しています」と述べています。
BleepingComputerはMetaにコメントを求めましたが、本稿公開時点では返答を得られていません。
検証のギャップ:自動ペネトレーションテストが答えられるのは1つの問いだけ。本当に必要なのは6つの答えです。
自動ペネトレーションテストツールは確かな価値をもたらしますが、その設計上の目的は「攻撃者がネットワーク内を横断移動できるか」という1つの問いに答えることにすぎません。自社のコントロールが脅威をブロックできているか、検知ルールが正しく発動するか、クラウド設定が堅牢かどうかを検証するために設計されたものではないのです。
本ガイドでは、実際に検証すべき6つのサーフェスについて解説します。
