カスタマーサービスチャットボットの役割はひとつ——人間の手を煩わせることなく、ユーザーの要望を叶えることです。Metaの新しいAIサポートアシスタントは、その役割を少々真剣に受け止めすぎてしまいました。ここ数か月、攻撃者はサポートチャットを開き、自分が所有していないInstagramアカウントからロックアウトされたとボットに告げるだけで、そのアカウントの鍵を手に入れることができていたのです。
先週末、Metaは緊急パッチを配信しました。オバマ政権のホワイトハウス(現在は休眠中)、美容小売大手セフォラ(Sephora)、そして米宇宙軍の上級士官のInstagramアカウントが相次いで乗っ取られ、一時的にイラン支持を示す画像に改ざんされるという事態が発生したためです。セキュリティ研究者でMetaの元従業員であるJane Manchun Wongも被害を受けました。
手口の詳細
攻撃の手口はシンプルでした。攻撃者はまず、アカウント所有者の居住地を特定します(インターネット上にはアカウント所有者の居住都市リストが存在するほか、ターゲットを個別に調査することも可能です)。次に、VPNを使用してターゲットアカウントの地理的地域と一致させ、Instagramのセキュリティシステムの警告を回避しました。
その後、通常のパスワードリセットを開始しながらサポートチャットを起動します。攻撃者はサポートを担当するAIボットにアカウントのメールアドレスの変更を依頼しました。するとボットはその指示通りに動作し、ワンタイムコードを攻撃者のメールボックスに直接送信してしまいました。
この攻撃が成立した背景には、チャットボットがMetaのアカウント管理システムとアカウント変更の権限を持った状態で連携していたにもかかわらず、相手が本物のアカウント所有者かどうかを確認する方法を習得していなかった点があるとみられます。セキュリティの世界では、これを「混乱した代理人(confused deputy)」と呼びます。この概念は1980年代から存在しています。
混乱したボットをかばうわけではありませんが、強化されたセキュリティが発動した場合でも、攻撃者は成功を収めていたとのことです。攻撃者はターゲットの画像を使ってビデオディープフェイクを作成していたようですが、その画像の取得元は——お気づきの通り——Instagramでした。
自業自得のMeta——AIの落とし穴
Metaは人員削減を進める一方でAIへの投資を加速させており、今年初めにはAIを活用したサポートアシスタントを展開して、アカウント回復やその他のサポートリクエストへの対応を効率化しようとしていました。
しかし問題は、ユーザーのアイデンティティを事前に確認するための十分な安全対策を設けないまま、メールアドレスの変更やパスワードリセットといった操作をAIに実行させる権限を与えていた点にあります。
MetaのコミュニケーションディレクターであるAndy Stone氏は、X(旧Twitter)上で問題は解決され、影響を受けたアカウントの保護措置が進められていると述べました。同社は被害を受けたアカウント数を公表していません。
攻撃者の真の目的
そもそも、なぜInstagramアカウントを乗っ取ろうとするのでしょうか。復讐が動機になることもありますが、多くの場合は金銭的利益が目的です。ハイジャッカーたちは、マーケティングにそのアカウントを依存している企業を恐喝した事例もあります。
この手法を使った攻撃者は、短くて人気の高いユーザー名を持つ「OG」アカウントも標的にしていることが確認されています。Instagramの初期から登録した覚えやすいハンドルネームは、アンダーグラウンド市場では数千ドルもの価値を持つことがあります。
自分を守るために今すぐできること
長年にわたって繰り返されてきたアドバイスが、今も有効です。多要素認証(MFA)を有効にしてください。ベテランのサイバーセキュリティ記者であるBrian Krebs氏によれば、SMSコードを使用しているものも含め、MFAを有効にしていたアカウントでは今回の攻撃が失敗したとのことです。
MFAが完璧というわけではありませんが、重要な保護レイヤーとして機能します。
実践的なアドバイスは地味ですが、次の通りです。
- Instagramの設定を開く
- Metaのアカウントセンターに移動する
- 二要素認証をオンにする。認証アプリはSMSよりも安全ですが、どちらも使わないよりはるかに効果的です。
今すぐ設定してください。この問題はまだ終わっていない可能性があります。TheCyberSecGuruが報告したところによれば、今度はBlueStacksと呼ばれるAndroidエミュレータで改変版のInstagramを実行し、AIを操作するための隠し文字を含む新たなプロンプトを送り込む別の攻撃が出回っているとのことです。
「便利な」ボットによるトラブルは今後も続く
AIチャットボットへの攻撃は、今回が最後ではないでしょう。カスタマーサポートのコスト削減を目的にAIを導入する企業が増えるにつれ、攻撃対象となる領域は拡大していきます。セキュリティと機能性のバランスを取ろうとする中で、多くのミスが生じることは避けられません。
Metaの脆弱性にはパッチが当たりましたが、「混乱した代理人」という概念が抱える問題は解決されていません。デジタルライフの鍵を握った混乱したAIほど、危険なものはないでしょう。
詐欺師はあなたをハックする必要はありません。一度クリックさせるだけで十分なのです。
Malwarebytes Identity Theft Protectionは、問題が深刻化する前に不審な活動を検知します。
