Instagramアカウント乗っ取り脆弱性、Metaサポートシステムの検証不足が原因

Instagramの複数アカウントがメタ社のサポートAIシステムの脆弱性を悪用した乗っ取り被害を受けた。攻撃者がVPN経由で位置情報を偽装し、認証コードを攻撃者が管理するメールアドレスに送信させることで、二段階認証を回避していた。

リード

Instagramで複数のアカウントが不正アクセスされ、その被害がここ数日で表面化している。オバマホワイトハウス公式アカウント「obamawhitehouse」を含む多数のアカウントが対象となった。この攻撃は、メタ社のカスタマーサポートAIシステムの検証プロセスの不備を利用したもので、数週間から数カ月間にわたって悪用されていたと見られる。

乗っ取りの手口

攻撃は非常にシンプルなプロセスで実行された。攻撃者は対象アカウントのユーザー名のみを用意し、VPNまたはプロキシサーバーを使用してターゲットユーザーの都市付近に位置を偽装する。その後、Metaサポートシステムに連絡してアカウントが乗っ取られたと主張し、検証コードを攻撃者が管理するメールアドレスに送信するよう要求する。

メタ社のシステムは、提供されたメールアドレスが実際にアカウント所有者によって使用されていたのかを確認することなく、パスワードリセットリンクを攻撃者提供のメールアドレスに送信した。このプロセスにより、二段階認証が完全に回避され、攻撃者は既存セッションを無効化し、パスワードを変更できた。元のアカウント所有者は、メールアドレスと電話番号が攻撃者にマップされているため、アカウント復旧ができない状況に陥った。

追加検証の欠陥

Instagramのサポートシステムはメール検証に加えて、ターゲットのフィードから既存の動画を用いた顔認証（セルフィー検証）を要求する可能性があるとされている。ただし、このプロセスも攻撃者が迂回可能だったとみられ、ターゲットのフィードから取得した生成AIアニメーション画像が動画セルフィー検証として機能したと報告されている。

闇市場での悪用

攻撃に成功した短いハンドル（ユーザー名）を持つInstagramアカウントは、闇市場で非常に高い価値を持つ。「hey」および「obamawhitehouse」を含む複数のアカウントが黒市Telegramグループで売買された。また、アメリカ宇宙軍最高マスター軍曹のアカウント「ocmssf」は宣伝目的に悪用されている。複数の黒市Telegramグループが「アカウント乗っ取りサービス」を高額料金と迅速な対応で提供していたが、メタ社が脆弱性をパッチ適用した後、これらのグループの活動は沈静化したと見られている。

この記事は元記事の事実のみに基づいて自動生成されました。

出典

0xsid.com、「The Newest Instagram "Exploit" is the Goofiest I've Seen」、https://www.0xsid.com/blog/meta-account-takeover-fiasco