週末にかけて、ハッカーたちはMetaのAIチャットボットを悪用し、多数の人気Instagramアカウントを乗っ取ったと主張した。同時に、多くのユーザーがソーシャルメディア上で、短いユニークなユーザー名のアカウントを含む、自身のInstagramアカウントが盗まれたと訴えた。
TechCrunchは、人気のある名前や国名を使ったアカウントが乗っ取られた事例を指摘した。これらのアカウントは、オリジナル(OG)名を専門とする闇市場でコレクターズアイテムとして転売された。このキャンペーンの被害者には、バラク・オバマ前大統領政権時代のホワイトハウスの非アクティブなアカウントも含まれているようだが(Metaはこの事実を否定している)、
これらの攻撃はあまりにも単純だったため、サイバー攻撃と呼ぶのは、犯人の役割を過大評価している可能性があり、Metaがこのような初歩的なユーザーアカウント乗っ取りの手法を阻止できなかったという失敗を適切に指摘できていないと言えるだろう。
ハッカーは、MetaのAIチャットボットに対し、標的アカウントの所有者であることを伝え、そのアカウントを自身が管理するメールアドレスにリンクするようシステムに要求するだけです。チャットボットは要求を正しく実行し、攻撃者はパスワードをリセットして制御権を掌握し、被害者のアクセスをロックすることさえ可能です。この検証プロセスには、Metaの従業員や契約業者は一切関与していません。
6月1日、Metaの広報担当者アンディ・ストーンは「この事件は発生しましたが、現在は修正済みです」と確認した。しかし、翌日にはさらに多くのInstagramユーザーがアカウントの不正アクセス被害を報告した。
一方、 TechCrunchは、攻撃手法が共有されていたTelegramチャンネルでの議論を追跡した。この記事執筆時点で、そのチャンネルのメンバーはMetaのチャットボットを悪用し、侵害したアカウントを公然と販売できると主張していた。これらのアカウントすべてが同じ方法で攻撃されたかどうかを断定することは難しい。
プラットフォームXに関するその後の投稿で、ストーン氏は「一部のユーザーにはパスワードリセットの通知が届く場合があり、また一部のユーザーにはアカウントにログインしようとした際にセキュリティに関する質問への回答を求められる場合があります」と述べた。
ストーン氏はTechCrunchへのメールで、Metaが6月1日に影響を受けたアカウントを保護し、その後パスワードリセットメールの送信を開始したことを認めた。しかし、影響を受けたユーザー数については明らかにしなかった。
多くのユーザーから、Metaが警告通知を送り始めたとの報告があった。被害者たちは、Instagramから「アカウントが侵害された可能性を示す不審なアクティビティが検出されました」というメールを受け取ったことを公に共有した。通知には、アカウントのセキュリティ対策を実施したこと、そしてユーザーにパスワードをリセットするよう求めたことも記載されていた。
404 Mediaが以前報じたように、Metaは3月に、AIを活用してユーザーサポートプロセスを自動化すると発表した。同社は、チャットボットが「アカウントの問題を最初から最後まで解決するように設計されている」とし、「パスワードを安全にリセットできる」と主張した。
これは、セキュリティシステムの重要性を鑑みると、チャットボットが従来人間の介入を必要としていたタスクを実行できることを示している。
長年にわたり、OGユーザー名の売買市場は著しく成長してきた。しかし、以前は、これらのアカウントを乗っ取るには、被害者になりすましたり、電話番号を乗っ取ったり、通信事業者の内部関係者に賄賂を渡したりするなど、より高度な戦略が必要だった。
今回は、ハッカーが単にリクエストを送信しただけで、Metaのチャットボットがそれに従った。
(TechCrunchによると)
出典:https://vietnamnet.vn/meta-gui-email-canh-bao-den-nguoi-dung-instagram-2522533.html
コメント (0)