わずか 1 週間ほど前、メタ社の AI を搭載したチャットアシスタントにより、ハッカーが知らず知らずのうちに、化粧品小売業者セフォラや米国宇宙軍のトップ中尉などの著名なアカウントや、バラク・オバマのホワイトハウスアカウントを含む数千の Instagram アカウントへのアクセスが可能になってしまいました。
正確な数字は後にメイン州司法長官事務所への規制当局への提出書類で明らかになった。影響を受けるアカウントは合計2万225アカウント(うちメイン州在住者は30アカウント)。
先週 404 Media が報じたこのハッキングは、2 要素認証を有効にしていないアカウント所有者に対して簡単に実行できました。ハッカーは、AI を搭載したボットに、標的のアカウントの電子メール アドレスを自分のものに変更するよう要求するだけです。これが受け入れられると、ハッカーはパスワードのリセットを要求し、AI が個人の電子メール アドレスにコードを送信するよう促しました。ハッカーがパスワードのリセットを確認した後、アカウントを乗っ取ることができました。
プロセスを段階的に編集したビデオが X にも掲載され、ハッカーがどのように攻撃したかを示しています。 VPNを使用する ターゲットの場所にあるように見せます。ハッカーはユーザーの電子メール アドレスや元のパスワードを必要とすることはありませんでした。
メイン州のアーロン・フレイ司法長官に宛てた6月5日付の事件警告書簡の中で、メタ氏は「インスタグラムの人工知能を利用したアカウント回復システムの脆弱性が…無許可の第三者によってインスタグラムのユーザーアカウントのパスワードリセットを実行するために悪用された」ことを認めた。
このエクスプロイトが公開された後、多くの Instagram ユーザーが自分のアカウントがハッキングされたと Reddit と X で報告しましたが、当時ハッキングの範囲は不明でした。スタッフの広報担当者は、最初の報告の直後、6 月 1 日付けでエクスプロイトにパッチが適用されたと X に投稿しました。
AIはどのようにしてハッキングを引き起こしたのでしょうか?
この問題のほぼ完全な原因は、Meta のカスタマー サポートが AI によって運営されているという事実です。テクノロジー大手は3月にこの動きを行い、「パスワードやプロフィール設定の更新などのアカウントの問題に対する24時間365日のサポート」が可能になると述べた。
しかし、AI チャットボットがプロセス全体を処理するため、不審なアクティビティが始まったときに人間が介入することはできませんでした。これにより、ハッカーはソーシャル エンジニアリング スタイルの攻撃を実行し、誰かが気づく前に何度も攻撃を成功させることができます。
影響を受けたアカウントはすべてのユーザーに対して強制的に切断され、電子メール アドレスが復元されました。その後、ユーザーはパスワードをリセットし、ログイン情報を再確認するように指示されます。 Meta によると、アカウントが保護されると、今後の攻撃を防ぐために 2 要素認証を有効にするよう促す 2 番目のメッセージが送信されます。
メタはまだコメントの要請に応じていない。
同様の攻撃から身を守る方法
ソーシャル エンジニアリングのエクスプロイトには 1 つの大きな制限がありました。それは、多要素認証を備えたアカウントでは機能しなかったことです。これらのアカウントには、選択した認証アプリにコードがすでに含まれているか、テキストで受け取ったコードが含まれています。 MFA が設定されていないと、ワンタイム リセット コードが選択した電子メール アドレスに送信されるように見えるため、ハッカーがコードを受信できるようになります。
自分自身を守る最善の方法は、すべてのメタ プラットフォームで利用できる多要素認証を有効にすることです。これ 100%あなたを守ってくれるわけではありませんしかし、これはパスワード単体よりもはるかに優れており、この特定のエクスプロイトから完全に保護されていました。
他にもできることはあります アカウントのセキュリティを強化する利用可能な場合はパスワード キーを使用し、アカウントの資格情報を見つけにくくするためにプライベート メール アドレスを使用することも含まれます。
