MetaAI脆弱性でInstagram乗っ取り被害2万件の衝撃

AI支援窓口が狙われた背景と重み

Instagramのアカウント復旧を支援するMetaのAIツールが、攻撃者に悪用されたと複数のセキュリティ系メディアが報じています。焦点は、チャットボットが不自然な会話にだまされたかどうかだけではありません。パスワード再設定という強い権限を持つ業務を、AI支援の窓口にどこまで任せてよいのかという設計問題です。

報道によれば、影響を受けた可能性があるInstagramアカウントは20,225件に上ります。Metaは問題を修正し、関連する支援ツールを停止したと説明されていますが、今回の事案はAI機能の導入速度と本人確認の厳格さが衝突した典型例です。個人利用者だけでなく、ブランド、政治家、軍関係者、インフルエンサーのアカウント管理にも直結します。

Metaは3月、FacebookとInstagramのサポートでAI支援を広げる方針を公表していました。同社はAIにより詐欺検知やなりすまし対策の能力を高めると説明していましたが、その同じ流れの中で、支援ツール自体が攻撃面になったことが今回の重みです。AIは防御を拡張できますが、権限設計を誤ると攻撃者の操作端末にもなります。

乗っ取りを招いた認証設計の穴

登録メール照合漏れという単純な失敗

BleepingComputer、The Verge、TechRadarなどの報道が引用したMetaの通知内容によれば、問題は「High Touch Support」と呼ばれるInstagramのAI支援型アカウント復旧システムにありました。攻撃者は、対象アカウントのパスワード再設定リンクを自分のメールアドレスに送らせることができたとされています。

通常、パスワード再設定は登録済みメールアドレスや電話番号に結びついている必要があります。ところが今回の不具合では、再設定を要求した人物が入力したメールアドレスと、実際にInstagramアカウントに登録されているメールアドレスの照合が正しく行われませんでした。そのため、アカウント所有者ではない人物のメール宛てに再設定リンクが送られたと報じられています。

この種の欠陥は、暗号技術の突破や高度なマルウェアとは性質が違います。本人確認の最後の門番であるはずのメール照合が、別のコード経路で抜け落ちていたという、アプリケーション設計上の失敗です。AIチャットの応答品質以前に、AIが呼び出せる下流処理に確定的な検証が置かれていなければ、自然言語の会話がそのまま権限昇格の入口になります。

報道によると、Metaは5月31日に脆弱性を把握し、6月1日には問題を解決したとされています。影響を受けた可能性がある20,225件は、AI支援ツール経由でパスワードを再設定され、2要素認証を有効にしておらず、第三者にアクセスされた可能性があるアカウントの上限値と説明されています。メイン州在住者は30人と報じられていますが、これは同州への通知対象者数です。

Metaは影響を受けた可能性のあるアカウントを保護するため、AI支援ツールを無効化し、問題のコード経路を削除し、生成済みの再設定リンクを失効させたとされています。さらに、対象アカウントを必須のセキュリティチェックポイントに入れ、再認証を求めたと報じられています。重要なのは、修正が行われたことよりも、同じ型の復旧フローが他のMetaサービスにも存在しないかを確認する必要がある点です。

高価値アカウントが売買対象になる構造

今回の事案では、一般利用者だけでなく、高い可視性を持つアカウントも標的になったと報じられています。The GuardianやBusiness Insiderは、バラク・オバマ元大統領の旧ホワイトハウス関連アカウント、Sephora関連アカウント、米宇宙軍上級幹部のアカウントなどが影響を受けた例として挙げています。

高価値アカウントが狙われる理由は明確です。フォロワーが多い、ユーザー名が短い、ブランド価値がある、政治的に悪用しやすい、あるいはDMや投稿履歴に二次攻撃の材料があるからです。乗っ取られたアカウントから不適切な投稿や詐欺リンクが配信されれば、被害は所有者本人にとどまりません。フォロワー、取引先、広告主、広報部門まで巻き込まれます。

Metaは、今回の不具合によって個人データが実際に流出した証拠は把握していないと報じられています。ただし、攻撃者がアカウントに入れた場合、メールアドレス、電話番号、生年月日、投稿、写真、動画、ストーリーズ、ダイレクトメッセージ、アカウント活動、プロフィール情報、連携アカウントに触れられた可能性があります。これは、単なるログイン障害ではなく、個人情報と社会的信用の両方にかかわる事故です。

米国では2024年にも、40州の司法長官がMetaに対し、FacebookとInstagramのアカウント乗っ取りとロックアウトへの対応強化を求めていました。つまり、アカウント復旧の弱さは新しい問題ではありません。今回新しいのは、その復旧窓口にAIが組み込まれ、攻撃者が会話を通じて状態変更を引き出せた点です。

権限を持つAIエージェントの危険性

プロンプト注入と過剰な代理権限

一部の専門家は今回の事案を、AIチャットボットを意図しない行動へ誘導するプロンプト注入の一種として捉えています。OWASPのLLM向けリスク分類でも、プロンプト注入は、モデルの挙動を変え、機密情報の開示や権限外機能へのアクセスにつながる危険として整理されています。

ただし、今回の本質はプロンプトの巧妙さだけでは説明できません。チャットボットが「メールアドレスを変更して」「再設定リンクを送って」といった要求を受け取ったとしても、下流システムが登録メール照合、リスク判定、本人確認、操作履歴の整合性を強制していれば、乗っ取りには至りません。AIが誤った判断をしたことより、AIの判断が重要操作に届いてしまったことが問題です。

OWASPは別のリスクとして「Excessive Agency」、つまり過剰な代理権限を挙げています。これは、LLMベースのシステムが不要な機能、過大な権限、過度な自律性を持つことで、予期しない入力や悪意ある入力に反応して有害な操作を実行する状態です。Instagramの復旧支援に置き換えると、AI支援ツールにパスワード再設定や連絡先変更に近い能力を与えるなら、その能力は人間の担当者や通常のAPIより厳しく制限されるべきです。

科学技術の観点で見ると、これは「AIが人間のふりをする」問題ではなく、「AIが業務システムの権限主体になる」問題です。従来のチャットボットは情報を返すだけでしたが、エージェント型AIはユーザーの代わりに操作を実行します。検索、予約、送信、削除、復旧、決済、設定変更まで扱うなら、AIの会話文はユーザー入力であると同時に、業務命令の生成源になります。

2要素認証を前提にしない防御線

今回の影響対象は、2要素認証を有効にしていないアカウントが中心だったと報じられています。これは、2要素認証が役に立たないという意味ではありません。むしろ、有効化していないアカウントでは、再設定リンクを奪われた時点で防御が薄くなることを示しています。

一方で、2要素認証だけに責任を押し付けるのも危険です。アカウント復旧フローは、まさにパスワードや認証要素を失った人を助けるための仕組みです。そのため、復旧窓口そのものが攻撃されると、通常のログイン防御とは別の迂回路ができます。攻撃者はログイン画面を突破するのではなく、「私は所有者です」と復旧窓口に主張し、登録情報の変更や再設定リンクの送信を引き出そうとします。

この構図では、AIは人間のオペレーターより疲れず、会話量をさばける反面、違和感を社会的文脈として読む力は限定的です。VPNで地域を合わせる、公開写真を使って本人らしさを装う、短いユーザー名や休眠気味のブランドアカウントを狙うといった手口が組み合わさると、単独のシグナルだけでは検知しにくくなります。

NISTのAIリスク管理フレームワークは、AIを単体モデルではなく、組織、データ、運用、監督を含むシステムとして扱う姿勢を示しています。Instagramの事例も同じです。モデルの安全性評価だけでは不十分で、誰がどの操作を承認するのか、失敗時にどのログで追跡するのか、どの時点で人間に引き継ぐのかを事前に決める必要があります。

再開前にMetaが満たすべき安全条件

MetaがAI支援ツールを再開するなら、まず本人確認の判定をAIの会話状態から切り離す必要があります。登録済みメール、電話番号、既存セッション、端末履歴、過去のログイン地域、アカウント作成時期、直近の変更履歴などは、モデルの応答ではなく、決定論的な認証ロジックで検証されるべきです。AIは案内役にとどまり、最終的な許可判定は権限管理システムが担う構成が安全です。

次に、AIが呼び出せる機能を最小化する必要があります。OWASPが推奨するように、エージェントには必要最小限の拡張機能だけを与え、下流システムへの権限もユーザーの文脈に沿って制限するべきです。パスワード再設定、登録メール変更、2要素認証の解除、連携アカウントの切断は、いずれも高リスク操作です。これらはAIの単独判断で完了させず、追加確認や人間の承認を挟む設計が妥当です。

三つ目は、攻撃者を前提にしたテストです。通常の品質テストは、善意の利用者が困らないかを確認します。しかし、今回必要なのは、攻撃者がAI支援窓口を攻撃面として扱った場合の試験です。別人のメールに再設定リンクを送らせる、位置情報を偽る、公開情報だけで本人確認を突破しようとする、休眠アカウントを狙うといったシナリオを、リリース前に継続的に検証する必要があります。

Metaは2025年のバグバウンティで多数の報告を受け、報奨金も支払っていると報じられています。今後は、従来型の脆弱性だけでなく、AI支援フローの悪用、本人確認のロジック破綻、過剰な代理権限も報奨対象として明示する価値があります。AI機能はモデル単体ではなく、ユーザー情報、サポート履歴、内部API、通知システムと結びつくため、外部研究者による検証範囲も広げるべきです。

最後に、事故時の透明性が重要です。影響範囲、発生時期、悪用された操作、対象アカウントの条件、利用者が取るべき手順を、できるだけ早く示す必要があります。Business Insiderが紹介した被害者の不満にもあるように、アカウントを失った利用者は復旧の可否だけでなく、何が起きたのかを知る必要があります。AI支援でサポートを高速化するほど、事故時の説明責任も重くなります。

利用者と企業アカウントの防御策

利用者が今すぐできる対策は、まず2要素認証を有効にし、可能であればSMSより認証アプリやセキュリティキーを優先することです。さらに、登録メールアドレスと電話番号が最新か、見覚えのないログイン端末がないか、復旧用メールに不審な再設定通知が来ていないかを確認する必要があります。パスワードは使い回さず、パスワード管理ツールで長く一意なものに変えるべきです。

企業やブランドのInstagram運用では、個人アカウント感覚の管理をやめることが重要です。管理者を最小限にし、退職者や外部委託先の権限を定期的に棚卸しし、投稿権限とアカウント復旧権限を分けて考える必要があります。乗っ取り時の広報文、広告停止手順、Metaへの連絡経路、他SNSや公式サイトでの告知方法も、事前に決めておくべきです。

今回の教訓は、AI機能を避ければよいという単純な話ではありません。大規模サービスのサポートでは、AIによる案内や一次対応は今後も広がります。問われているのは、AIに何を任せ、どの操作を任せないかです。ログイン復旧のように本人性と資産価値が絡む領域では、AIの便利さより、検証可能な認証境界を優先する設計が不可欠です。

Instagramを使う個人と企業は、今回の事案を一時的なMetaの不具合として片付けるべきではありません。あらゆるサービスでAI支援窓口が増えるほど、復旧フロー、本人確認、権限委任が攻撃対象になります。次に狙われるのは、最も有名なサービスではなく、同じ設計ミスをより小さな監視体制で抱えたサービスかもしれません。

参考資料:

• Boosting Your Support and Safety on Meta’s Apps With AI
• Over 20,000 Instagram accounts stolen in Meta AI support hack
• Instagram users locked out after Meta AI abused to steal accounts
• Hackers likely hijacked over 20,000 Instagram accounts with Meta’s AI chatbot
• Meta’s own AI was exploited to hijack Instagram accounts
• Meta reveals over 20,000 Instagram accounts hacked and stolen using AI support bot
• Hackers trick Meta AI support bot to infiltrate Obama White House Instagram account
• They tricked Meta’s chatbot to hack into Instagram accounts
• State AGs send letter to Meta asking it to take ‘immediate action’ on user account takeovers
• OWASP Top 10 for LLMs and Gen AI Apps 2025
• LLM01:2025 Prompt Injection
• LLM06:2025 Excessive Agency
• AI Risk Management Framework