Metaの AI チャットボット悪用により数千のInstagramアカウントが乗っ取られ

Meta は、同社の AI 支援パスワードリセットシステムの脆弱性を悪用して、数千の Instagram アカウントが乗っ取られたことを確認した。4月17日から今週まで続いた攻撃では、チャットボットが不正操作され、確認コードが正規のメールアドレスではなくハッカー管理のメールアドレスに送信されていた。

Metaは、アカウント乗っ取りで少なくとも20,225人が被害を受けたと通知。メイン州では30人が影響を受け、同州司法長官事務所に報告された。攻撃により、ハッカーは連絡先情報、生年月日、プロフィール情報、投稿、ダイレクトメッセージ、アカウント活動にアクセスできた。

AI チャットボットの脆弱性

Metaは、「ツール自体は正常に動作していたが、別のコードパスのバグにより、パスワードリセットをリクエストした個人が提供したメールアドレスが、そのユーザーの Instagram アカウントに関連するメールアドレスと一致するかどうかが適切に検証されなかった」と述べた。その結果、「個人がアカウントに以前関連付けられていないメールアドレスを提供した場合、システムはそのリクエストを拒否するのではなく、不正なメールアドレスにパスワードリセットリンクを誤って送信した」。これにより「不正な第三者が所有していないアカウントのパスワードリセットリンクを受け取ることができた」という。

二要素認証を有効にしていなかった Instagram ユーザーのアカウントは、この脆弱性によるパスワードリセットに対して脆弱だった。

Meta の対応と今後の確認

Meta は、チャットボットを無効化し、パスワードリセットを可能にしていたコードパスを削除した。同社は「影響を受けたユーザーにパスワードをリセットし、安全で検証済みのチャネルを通じて再認証するよう指示した」とされている。また、Meta は他のプラットフォーム全体のチャットボットを確認し、同様の事態の再発を防ぐ計画だ。

Meta は、ハック中にどのような個人情報がアクセスされたかについて「認識していない」と述べている。Instagram は今週初めに、パスワードリセット通知を送信して被害者への通知を開始したと報じられている。また、ハックが継続していたとの報告もある。

この記事は元記事の事実のみに基づいて自動生成されました。

出典

~this week in security~「Meta confirms thousands of Instagram accounts were hacked by abusing its AI chatbot」https://this.weekinsecurity.com/meta-confirms-thousands-of-instagram-accounts-were-hacked-by-abusing-its-ai-chatbot/ (404 Media、TechCrunch の報道による)