Instagram AI支援システムの脆弱性で大規模アカウント乗っ取り
原題: The newest Instagram “exploit” is the goofiest I've seen
なぜ重要か
AI支援システムの脆弱性が大企業でも重大なセキュリティリスクとなることを示す事例
Instagramで大規模なアカウント乗っ取りが発生し、オバマ政権公式アカウントなど著名アカウントが被害に遭った。攻撃者がMeta AI支援システムの脆弱性を悪用し、認証なしでパスワードリセットを実行していた。Metaは既に修正済みだが、数週間から数か月間この手法が利用可能だった。
セキュリティ研究者が明らかにしたところによると、Instagramで極めて単純な手法による大規模なアカウント乗っ取りが発生していた。攻撃者は標的のユーザー名さえ分かれば、VPNで対象地域からアクセスしているように偽装し、Meta AI支援システムに「アカウントがハッキングされた」と報告するだけで済んだ。AIは追加認証なしに、攻撃者が指定した任意のメールアドレスに認証コードを送信していた。攻撃者がそのコードを返すと、システムは新しいパスワードリセットリンクを提供し、完全なアカウント制御権を渡していた。さらに本人確認のため動画自撮りを求められる場合もあったが、標的の公開写真をAIで加工したものでも通過できたという。この手法では二要素認証も無効化され、元の所有者には通知が一切送られなかった。高額で取引される短いハンドルネームなどを狙い、Telegramで「アカウント乗っ取りサービス」を提供する闇市場も出現していた。時価総額1.5兆ドルの企業がこのような基本的な保護機能を欠いていたことは驚きだと専門家は指摘している。