ハッカーがMetaのAIサポートチャットボットを使ってInstagramアカウントを乗っ取る
MetaのAIサポートボットに関連するInstagramアカウントの乗っ取り
ハッカーはMetaのAI搭載サポートチャットボットを悪用してInstagramアカウントにアクセスしており、自動化アシスタントを侵入経路の一部として利用する新たな攻撃手法が明らかになっています。
Instagramは月曜に、週末に複数のユーザーからアカウントが不正に操作されたとの報告を受けてセキュリティ上の問題を修正したと発表しました。RedditやXの投稿には同様の乗っ取り事例が記されており、影響を受けたアカウントには2017年以降活動していないと見られるオバマ政権時代のホワイトハウスのInstagramアカウントや、U.S. Space ForceのチーフマスタサージェントであるJohn Bentivegnaのアカウントが含まれていました。
セキュリティ研究者のJane Wongも自身のアカウントが乗っ取られたと述べています。Wongは「パスワードが私の知らないうちに変更され、昨日は何度も異なるパスワードリセットの試行がありました」と語りました。「非常に憂慮すべき事態です。」
Xに投稿されたビデオには、攻撃で使われた手法が示されているようです。ビデオによると、ハッカーはまずVPNを使ってターゲットの推定される場所を偽装し、Instagramの自動保護を発動させないようにしたと見られます。攻撃者はその後、Meta AI Support Assistantとのチャットを開き、被害者のアカウントに新しい電子メールアドレスを追加するようボットに依頼しました。
チャットボットは報告によれば確認コードを攻撃者のメールアドレスに送信し、攻撃者はそのコードを再びボットに伝えました。そのやり取りによりチャットボットは「パスワードをリセット」ボタンを表示し、攻撃者は新しいパスワードを入力してアカウントを乗っ取りました。
TechCrunchは、ビデオに表示されていた攻撃者の公開メールボックスが確認コードを受け取っていたことを確認できました。この攻撃では、攻撃者が被害者のInstagramアカウントに紐づく正当なメールアドレスを乗っ取る必要がなく、乗っ取りの経路が異例に直接的でした。
InstagramのスポークスパーソンであるAndy Stoneは月曜にWongらへの対応として、この問題は修正されたと述べました。被害を受けたユーザーの数は不明のままです。MetaはTechCrunchのコメント要請には直ちには回答していません。
出典:
さらにテックニュースは Doppler VPN Blogでお読みください。