ハッカーが Meta AI のサポートチャットボットを騙し、有名人の Instagram アカウントを奪う事件が明らかになった。404 Media と Ars Technica が報じている。被害者にはバラク・オバマ元大統領のホワイトハウス公式アカウントや米宇宙軍最上級曹長、セキュリティ研究者 Jane Manchun Wong 氏が含まれ、規模は数千件、闇市場での合算評価額は 100 万ドル超に及ぶ。Meta は 2026 年 5 月 29 日に緊急パッチを適用済みだ。
攻撃手順は「変えて」と頼むだけ #
Ars Technica はこれを「極めて単純なプロンプトインジェクション」と評した。成立の前提は被害アカウント側で 2 要素認証が無効だったこと。それでもサポート LLM がメール変更権限を直接握っていた設計が致命的だった。
なぜ「サポート用 LLM」は本人確認の穴になるのか #
従来の電話サポートは人間が状況証拠を総合判断していたが、LLM サポートは自然言語で「私が本人だ」と説得されると本来の権限境界を越えてしまう実装が多い。本件で攻撃者が突いたのは、ユーザ確認の責任が LLM 単体 に押し付けられていたこと、サポートエージェントがメール変更 API のフル権限を保持していたことの 2 点だ。AI を窓口に置くなら、LLM が触れる API は読み取りや FAQ 検索程度に絞り、本人確認はパスキーや既存の MFA フローへ強制リダイレクトするのが定石である。Meta ですらそこを徹底できていなかった事実は、業界全体に重い。
ユーザ側に残された防御線 #
プロンプトインジェクションは「外部入力で LLM を操る攻撃」だが、本件は本人なりすましとして実体化した大規模事例として位置付けられる。AI チャットボットは 24 時間 365 日、ソーシャルエンジニアリングを受け続ける窓口でもある。ユーザ側で打てる手はシンプルで、パスキーまたは 2FA を必ず有効化しておくこと。今回 2FA があれば奪取は成立しなかったとされる。AI サポートの普及が進むほど、メール認証だけでアカウントを守る時代は終わると考えるのが妥当だろう。
COMMENTS 0
まだコメントはありません。最初のコメントを投稿しよう。