アカウント乗っ取りの新たな手口
Instagramのアカウント乗っ取りといえば、従来は認証情報の盗難やメールアカウントの侵害が主な手口でした。しかし最近、攻撃者はまったく別のベクターを巧みに利用することに成功しました。MetaのAIアシスタントを操作し、第三者のプロフィールへの管理者アクセスを自律的に付与させたのです。
Instagramはすでに、この不正な乗っ取りを可能にした脆弱性を修正しています。この攻撃手法は、Reddit、X、そして複数のTelegramチャンネルで相次いで情報が公開されたことで明らかになりました。研究者たちはビデオデモや攻撃の技術的な詳細を積極的に共有しました。被害を受けた著名なアカウントには、オバマ政権時代のホワイトハウス公式アーカイブが含まれています。また、米宇宙軍チーフ・マスター・サージェントのジョン・ベンティヴェーニャ氏のプロフィールやセフォラのアカウントも被害を受けました。
攻撃の目的
侵害されたページの一部には、イラン支持のイメージや言説が一時的に掲示されました。また、テレメトリデータによると、攻撃者はプレミアムな短尺Instagramハンドルを積極的に標的にしていたことが示されています。こうした需要の高いデジタル資産は、アンダーグラウンドのマーケットプレイスで高額取引されています。
攻撃手法の詳細
攻撃の手順は驚くほど単純なものでした。まず攻撃者はプロキシ接続を使って自分の地理的な位置を偽装します。これにより、ネットワークトラフィックが正規のアカウント所有者の通常使用地域から発信されているように見せかけられます。次に通常のパスワードリセット手順を開始し、MetaのAIアシスタントとのチャットセッションに移行します。そして最後に、標的のプロフィールに不正なメールアドレスを紐づけるよう要求します。
この不正なリクエストを処理すると、自動アシスタントは検証トークンを攻撃者のメールボックスに直接送信しました。攻撃者がこのトークンをチャットインターフェースに入力すると、システムはすぐに認証情報のリセットを促しました。注目すべきことに、ビデオ証拠によれば、被害者の本来のメインメールアドレスを侵害する必要はまったくなかったことが示されています。
コミュニティへの影響と調査結果
著名なセキュリティ研究者のジェーン・マンチュン・ウォン氏は、自身のアカウントも同様に乗っ取られたと公表しました。同氏によると、一日を通じて不審なパスワードリセット通知が相次いだ後、認証情報が無断で変更されていたことに気づいたといいます。この公表をきっかけに、ウォン氏はプレミアムハンドルを所持する多数のユーザーが同様の乗っ取り被害を報告していることを確認しました。
攻撃が継続していた期間
Telegramグループでの議論によると、この攻撃手法は数ヶ月にわたって有効であり続けたとされています。これらのチャンネルでは、プレミアムハンドルの一覧と関連する地域情報が積極的に共有されていました。ある投稿では、すべてのプロフィールが同様に脆弱というわけではないと指摘されており、そのため攻撃者は標的を手動で選別していたとされています。
緊急対応と修正
Instagramの広報担当アンディ・ストーン氏はXを通じて、この構造的な問題が解消されたことを確認しました。同氏は、影響を受けたアカウントの保護に積極的に取り組んでいることをユーザーに伝えました。一方、Metaは侵害されたユーザーの正確な件数を公表していません。複数のTelegramノードからの独自のテレメトリによると、緊急ホットフィックスの適用直後にこの攻撃手法は機能しなくなったとされています。
攻撃対象領域の再定義
この事件は、WebプラットフォームがアカウントRecoveryのフローを自動化アシスタントに委ねることで生じる深刻なシステムリスクを浮き彫りにしています。逆説的なことに、3月にMetaはこのサポートインフラを先進的なエコシステムとして大々的に宣伝していました。同社は、単なるガイダンスの提供にとどまらず、認証情報のリセットやアカウントの包括的な復元を含むセキュリティ上の問題を積極的に解決するとしていました。
しかしセキュリティの専門家たちは、AIアシスタントの導入によってサービスの攻撃対象領域が根本的に拡大すると指摘しています。人間のサポート担当者が従来のソーシャルエンジニアリングに対して脆弱であるのと同様、自律的な会話型エージェントも同じリスクを抱えています。十分に説得力のあるプロンプトが提示された場合、危険なコマンドを実行してしまうことがあるのです。
多層防御の実装
結論として、多要素認証を導入していれば、重要な防御の冗長性が確保されていたでしょう。ビデオ分析によると、二次認証を設定しているアカウントに対しては、この攻撃は一様に失敗していたことが確認されています。したがって、暗号化パスキーやハードウェアトークンには劣るとはいえ、SMSベースのワンタイムパスワードという基本的な手段でも、アカウントの乗っ取りを防ぐことができたでしょう。
翻訳元: https://meterpreter.org/meta-ai-instagram-exploit/
