写真共有プラットフォームのInstagramは、近日、重大なセキュリティ脆弱性を緊急に修正しました。以前、多くのユーザーのアカウントがこの脆弱性によって不正アクセスされたことがあり、ハッカーの核心的な手口は、Metaが自社開発した人工知能カスタマーサポートチャットボットをだますことで、被害者のアカウントのコントロール権限を簡単に入手するというものでした。

著名人や公式アカウントが次々と陥落

今週末、多くのソーシャルメディアユーザーが自分のInstagramアカウントが盗まれたことを明らかにしました。被害者の中には一般ユーザーだけでなく、オバマ政権時代のホワイトハウス公式アカウントやアメリカ宇宙軍の首席士官の個人アカウントも含まれており、AIカスタマーサポートの安全性に対する広範な懸念を引き起こしました。

セキュリティ研究家のジェーン・ワンも今回の事件の被害者の中の一人です。彼女は、自分のログインパスワードが予告なしに変更され、その日のうちに複数回の異地からのパスワードリセット申請を受けたことを明らかにしました。この盗難のプロセスは、ユーザーにとって非常に不安を感じさせるものでした。

ユーザーのメールアドレスを攻撃する必要がない

ネット上で流出したハッカーの操作動画によると、この脆弱性の侵入プロセスは非常に巧妙です。ハッカーはまず、仮想ネットワークを使ってターゲットユーザーの地理的場所を偽造し、プラットフォームの自動化されたリスク管理システムを回避しました。その後、メタのAIカスタマーサポートアシスタントに直接接続します。

会話の中で、ハッカーはAIカスタマーサポートにターゲットアカウントに新しい電子メールアドレスをバインドさせました。AIカスタマーサポートは新メールアドレスに検証コードを送信し、ハッカーから検証コードを受領するとすぐにパスワードリセットボタンを表示します。これにより、ハッカーは被害者が元々バインドしていたメールアドレスを一切攻撃することなく、アカウントの乗っ取りを完了することができました。

プラットフォームは脆弱性が修正されたと応答

この非常に深刻なAI論理の脆弱性について、Instagramのスポークスパーソンは後に対応しました。スポークスパーソンのアンディ・ストーン氏は、関連するセキュリティの脆弱性はすでにすべて修正され、プラットフォームは通常のセキュリティリスク管理に戻ったと述べました。

ただし、公式側は今回のイベントでどのくらいのユーザーが不正アクセスされたのかは明かしていません。サイバーセキュリティの専門家は、AIカスタマーサポートがサービス効率を向上させる一方で、その権限確認ロジックはさらに厳格な監視と審査が必要であると警告しています。