技術的な説明
更新:Metaは2026年6月6~7日頃、メイン州司法長官に正式なデータ侵害通知を提出し、AI搭載のHigh Touch Support (HTS) Instagramアカウント復旧チャットボットが2026年4月17日~5月31日の間に20,225件のアカウント侵害に悪用されたことを確認しました。別のコードパス内のバグにより、パスワードリセット要求者が提供したメールアドレスがターゲットアカウントに既に関連付けられているメールアドレスと一致するかどうかの検証に失敗しました。攻撃者は単にMetaのチャットボットに対して自分のメールを任意のアカウントにリンクするよう依頼し、有効なリセットリンクを受け取り、2FAなしでアカウントを乗っ取りました。この件には、オバマホワイトハウス、Sephora、および米国宇宙軍職員に属する著名なアカウントが含まれます。
攻撃経路
AI搭載サポートチャットボットのソーシャルエンジニアリング:攻撃者が攻撃者制御のメールアドレスを指定してパスワードリセット要求を送信し、HTSツールはメールオーナーシップ検証ステップをスキップして、有効なリセットリンクを攻撃者のアドレスにメール送信します。技術的なエクスプロイトまたは認証情報は不要で、チャットボットへの自然言語リクエストのみが必要です。
影響を受けるシステム
(a) HTS AI補助アカウント復旧ワークフローを使用し、(b) 二要素認証が有効になっていないMetaのInstagramアカウント。約20,225件のアカウントが影響を受けていることが確認されています。
緩和策
Metaはhttpsを無効化し、該当期間中に生成されたすべてのリセットリンクを無効化し、影響を受けたアカウントを強制的なセキュリティチェックポイントに登録し、パスワードリセットを強制しました。ユーザーは以下の対応を取るべきです:(1) すべてのMetaアカウントで2FAを直ちに有効化する、(2) 4月17日~5月31日のアカウントアクティビティログを確認する、(3) リンクされたサードパーティアプリを監査する。Meta AI統合を使用するエンタープライズは、AI補助アカウントまたはアクセスフローを再度有効化する前に、認証チェックを検証する必要があります。