Meta、AIチャットボット悪用でInstagramアカウント数千件がハッキングされたことを確認
原題: Meta confirms 1000s of Instagram accounts were hacked by abusing its AI chatbot
なぜ重要か
AIシステムの脆弱性が大規模なセキュリティ侵害につながることを示し、AI技術の安全性確保の重要性を浮き彫りにした事例
Metaは、同社のAIチャットボットを悪用してInstagramアカウントのパスワードをリセットする脆弱性により、少なくとも20,225人のアカウントが侵害されたと発表した。4月17日から今週まで継続したハッキングキャンペーンで、二要素認証を設定していないアカウントが標的となった。
Metaは、同社のAIチャットボットを悪用した長期間にわたるハッキングキャンペーンにより、数千人のInstagramアカウントが侵害されたことを初めて公式に確認した。メイン州司法長官事務所に提出されたデータ侵害通知によると、少なくとも20,225人(うちメイン州居住者30人)が影響を受けた。
ハッカーたちは、Metaのチャットボットの脆弱性を悪用し、二要素認証を設定していないアカウントのパスワードリセットを実行した。この手法では、ハッカーがチャットボットに対して偽の電子メールアドレスを提供すると、システムが適切な検証を行わずに、本来のアカウント所有者ではなくハッカーの電子メールアドレスに確認コードを送信していた。
Metaの説明によると、「ツール自体は適切に機能していたが、別のコードパスのバグにより、システムがパスワードリセット要求者の電子メールアドレスがそのユーザーのInstagramアカウントに関連付けられたアドレスと一致するかを適切に検証していなかった」という。
この侵害により、ハッカーは被害者のInstagramアカウント全体と関連アカウントを乗っ取り、連絡先情報、生年月日、プロフィール情報にアクセスし、投稿、ダイレクトメッセージ、アカウント活動を閲覧できた。ハッキングは4月17日頃から今週まで続いており、Metaは現在チャットボットを修正済みと発表している。