著名アカウントがいつの間にか親イラン的なコンテンツを投稿
Meta AIを騙してInstagramアカウントを乗っ取るセキュリティ問題が発覚。Telegramに手順示す動画
Share
先週末、InstagramでMeta AIの悪用によってアカウントが乗っ取られる問題が発覚した。Metaはすでにこの問題を修正したとしているが、それまでに複数の被害報告があがっていた。
Redditには複数のユーザーがこの問題によってInstagramアカウントを乗っ取られたと報告している。また乗っ取られたアカウントには2017年から休止状態にあったとみられるオバマ政権のホワイトハウスのアカウントや、ジョン・ベンティヴェーニャ米宇宙軍最上級曹長のアカウントなども含まれていた。
Instagramアカウントを乗っ取られたうちの1人でセキュリティ研究者のジェーン・ウォン氏はXの投稿で「知らないうちにパスワードが変更され、昨日は一日中、パスワードのリセットを試みたとのメッセージが何度も届いていた」と述べている。
この問題が表面化する前、TelegramにはMeta AIを騙してアカウントを乗っ取る手順が動画で公開されていた。この動画を投稿したTelegramアカウントは、ハッキングされたInstagramアカウントによって使用された親イラン的な画像、動画、メッセージのスクリーンショットへのリンクも掲載し、攻撃者がこの脆弱性を利用して、転売価値が50万ドル以上とされる多数の貴重なInstagramアカウントを乗っ取ったと述べている。
この問題からわかる大きな問題は、攻撃者が被害者のInstagramアカウントに紐づけられた正規のメールアドレスを乗っ取る必要がまったくなかったということだ。Instagramは月曜日、何人かの被害者へのメールで問題はすでに修正されたと報告したが、最終的にいくつのInstagramアカウントが乗っ取られたのかはわからない(一部では100件以上とも言われている)。
Metaは3月に、FacebookとInstagramのすべてのアカウントにAIサポートを導入し、パスワードのリセットやその他の重要なアカウント管理機能を実行できるようにすると発表していた。そして、その方法はユーザーの役に立つよりも悪意あるものにアカウントを乗っ取る方法を提供することになった。
サイバーセキュリティ専門ブログのCybersecguruは、「Instagramは、人的サポート体制が著しく不十分」であることが知られていると指摘し、「Metaの解決策は、一般的な復旧ワークフロー(紛失したメールアドレスの再リンク、パスワードのリセット、アカウント所有権の確認など)を処理する対話型AIレイヤーを導入することだった」と述べた。
一方、Lumenのサイバー脅威研究および運用部門であるBlack Lotus Labsのイアン・ゴールディン氏は多くの大手オンラインプラットフォームがAIチャットボットによる機密性の高いアカウント復旧リクエストの処理を許可し始めているため、セキュリティは未知の領域に突入していると述べている。同氏は、人間のカスタマーサポート担当者がソーシャルエンジニアリングによって不正アクセスを許してしまう可能性があるのと同様に、AIボットもユーザーをサポートしようとする一方で、説得や策略に弱いと傾向があると指摘、今後こうした種類の攻撃がさらに増える可能性が高いと述べている。
セキュリティ専門ジャーナリストのブライアン・クレブス氏は「今回のケースでは、Instagramが提供するなかで、最も脆弱な多要素認証(MFA)であるSMSで送信されるワンタイムコードを使用しても、おそらく攻撃は阻止できただろう。Telegramで動画を公開したハッカーたちは、MFAが有効になっているアカウントに対しては、自分たちの攻撃は機能しなかったと述べている」と述べた。
各種オンラインアカウントのセキュリティを確保のためには、多少面倒に感じても、パスキーやセキュリティキーなどの多要素認証を設定しておくのが良さそうだ。
- Source: Jane Manchun Wong(X)
- via: TechCrunch
