アカウント復旧の仕組みは、認証情報の失効時における緊急的な救済手段として機能することが多いです。しかし、このメカニズムに存在した欠陥が、広範なプロフィール乗っ取りを可能にしました。このほどMetaは、深刻なインフラ侵害を公表しました。同社は、攻撃者がHigh Touch Support AIプラットフォームを悪用したことを明らかにしています。具体的には、脅威アクターがこのエンジンを操作して管理者パスワードのリセットを実行しました。この手口により、攻撃者は外部アカウントを容易に侵害できる状態となり、結果としてハッカーたちは正確に20,225件のInstagramプロフィールを乗っ取ることに成功しました。
復旧脆弱性の仕組み
High Touch Supportツールは本来、利用停止となったユーザーの認証情報回復を支援するためのものでした。自動化されたこの仕組みは、制限されたプロフィールへのアクセスを復元する目的で設計されていました。この復旧プロセスでは、システムが電子メール経由でパスワードリセットのリンクを送信しており、申請者が提供したメールアドレス宛にトークンが届く仕組みになっていました。
しかし残念なことに、アプリケーションロジックの特定の部分に重大な脆弱性が潜んでいました。バックエンドのコンポーネントが受信者の身元を検証しない設計となっており、提供されたメールアドレスが対象アカウントのものと一致するかどうかを確認する処理が存在しなかったのです。
認証ゲートウェイの回避
この見落としを悪用し、攻撃者はターゲットのユーザー名と自分自身のメールアドレスを入力しました。その後、暗号化されたリセットトークンを傍受することができました。正規のアカウント所有者が多要素認証を設定していなかった場合、侵害はその場で成功します。新たに生成された認証情報によって、プロフィールへの完全な制御権が得られました。Metaによれば、メインのサポートフレームワーク自体は本来の処理を正常に実行していました。しかしそれを逆手に取るように、検証サブルーティンが受信データを完全に誤解析していたのです。
侵害の発覚と経緯
Metaがこのソフトウェアの欠陥を最初に特定したのは2026年5月31日のことでした。同社はその後、メイン州の規制当局に正式な情報開示を行いました。届出書類によれば、同州の住民30名が被害を受けたと推定されています。一方、規制当局のデータベースが記録する最初の侵害発生日は2026年4月17日となっており、このタイムスタンプが実際の悪用キャンペーン開始時点を示していると考えられます。
流出情報の評価
Metaは流出したユーザーデータの正確な件数を明らかにしていませんが、企業通知では複数の漏洩リスクのあるデータカテゴリが列挙されています。具体的には、メールアドレス、電話番号、生年月日が対象に含まれています。さらに、アップロードされた写真や動画、プライベートメッセージも脅威にさらされていました。加えて、攻撃者はプロフィールの行動履歴、アクティビティのタイムライン、連携しているサードパーティサービスにもアクセスできる状態でした。
修正対応と体系的な安全策
発覚後、Metaは直ちにこの自動AIツールを無効化しました。同時に、エンジニアはプラットフォームが生成したすべての有効なリセットトークンを無効化し、セキュリティチームは侵害を受けた環境を強制的な防御隔離下に置きました。また同社は、影響を受けたユーザーに対して速やかにパスワードを変更するよう指示しました。最終的にユーザーは、通常のプロフィールアクセスを回復するために本人確認を再実施する必要がありました。
ツールを再展開する前に、Metaは検証ロジックの全面的な見直しを行う方針です。メールの解析処理を強化することは不可欠であり、技術チームは他のソフトウェアスイートにおける同様の復旧アーキテクチャについても並行して監査を進めています。この先手を打った取り組みは、同様の手口による複数プラットフォームへの悪用を防ぐことを目的としています。
翻訳元: https://meterpreter.org/meta-ai-support-hack/
