Instagramはアカウントセキュリティの問題を修正しました。TechCrunchの報道によると、攻撃者はMetaのAIカスタマーサポートボットを誘導して、他のアカウントに新しいメールアドレスを追加し、パスワードリセットをトリガーしてアカウントを乗っ取ることが可能でした。
複数のユーザーがアカウントが不正アクセスされたと報告しています。
この出来事は週末に注目を集めた。Reddit および X 上で複数のユーザーがアカウントがハッキングされたと報告しており、オバマ政権時代のホワイトハウスの Instagram アカウントや、米国宇宙軍の最高軍曹であるジョン・ベンティベグナのアカウントも影響を受けた。セキュリティ研究者のジェーン・ウォンも、自身のアカウントが無断でパスワードが変更され、乗っ取られたと述べている。
攻撃フローによって元のメールアカウントの制御を回避する
報道によると、攻撃者はまずVPNを使用して対象の所在地を偽装し、プラットフォームの自動リスク管理機能が作動する確率を低下させました。その後、攻撃者はMeta AI Support Assistantと会話を行い、対象アカウントに新しいメールアドレスを追加するよう要求しました。
デモ動画では、カスタマーサポートボットが攻撃者が提供したメールアドレスに認証コードを送信します。攻撃者はその認証コードをボットに再入力し、システムに「パスワードリセット」ボタンが表示されます。このステップを完了すると、攻撃者は新しいパスワードを設定し、アカウントの制御権を取得できます。
TechCrunchは、動画で公開されたメールアドレスが実際に認証コードを受け取ったことを確認しました。このプロセスでは、攻撃者が被害者の元のメールアドレスを事前に制御する必要はありません。
メタは脆弱性を修正したと発表しました
Instagramの広報担当者であるAndy Stoneは、月曜日にソーシャルプラットフォーム上で関連する投稿に返信し、この問題はすでに修正されたと述べました。ただし、Metaはこの問題の影響を受けたユーザー数についてまだ明かしていません。
これまでに明らかになった情報によると、この事件は、AIカスタマーサポートツールがアカウントの重要な情報を変更する権限を有し、身元確認プロセスが不十分な場合、アカウント乗っ取りに利用される可能性があることを浮き彫りにした。報道掲載時点までに、MetaはTechCrunchの追加コメント要請に即座に応じていない。