Meta社のAI搭載チャットボットがハッカーに悪用され、多数のInstagramアカウントが乗っ取られた。この事件は、ログインメールアドレスの変更やアカウント復旧といった機密性の高いリクエストの処理をAIに任せることのリスクを、テクノロジー企業が浮き彫りにしている。
404 Mediaによると、この脆弱性を悪用する方法を示す多数の動画が、ハッカーやセキュリティ研究者が利用するTelegramグループで出回っているという。その方法は非常に単純で、ハッカーは位置情報偽装ツールを使って、システムにアカウント所有者の位置情報に近いと思わせ、Metaのサポートチャットボットに、対象のInstagramアカウントに関連付けられたメールアドレスを変更するよう指示する。
メールアドレスが変更されると、攻撃者はパスワードのリセットを要求してアカウントを乗っ取ることができます。短く覚えやすい名前のInstagramアカウントや、有名人に関連付けられたアカウントは、非公式のマーケットで非常に高値で売買されることがあります。
Meta社は、問題は解決済みであり、影響を受けたアカウントを保護していると発表した。404 Mediaによると、Meta社は5月29日に緊急に脆弱性を修正したという。しかし、それ以前にどれだけのアカウントが侵害されたかは現時点では不明である。
2025年4月29日、米国カリフォルニア州メンローパークで開催されたAI開発者会議「LlamaCon 2025」にて、Metaのロゴが展示された。(写真:AP通信)
バラク・オバマ大統領のホワイトハウス公式アカウント、宇宙軍高官のアカウント、小売業者セフォラの公式アカウントなど、複数の著名なアカウントが影響を受けたとみられている。バラク・オバマ大統領のホワイトハウス公式アカウントは、ハッキング期間中にイランを支持する画像やメッセージを投稿していた。
セキュリティ専門家は、アカウント侵害のリスクを軽減するために、ユーザーは引き続き多要素認証を有効にすべきだと提言している。この対策では、ログインするユーザーはパスワードに加えて、SMSで送信されるコードを入力するなどして本人確認を行う必要がある。
今回の事件は、カスタマーサポートサービスにおけるAIツールのセキュリティについて疑問を投げかけるものだ。AIがアカウント情報を変更する権限を持つ場合、システムはメールアドレスの変更、パスワードのリセット、その他の重要な操作を許可する前に、独立したチェックを実施する必要がある。
出典:https://vtv.vn/chatbot-ai-cua-meta-bi-loi-dung-de-chiem-tai-khoan-instagram-100260602150127808.htm
コメント (0)