米宇宙軍の幹部やオバマ政権時代にホワイトハウスが使っていた Instagram のアカウントが、6 月初旬に相次いで乗っ取られた。投稿欄にはイラン支持のメッセージや画像が並び、関係者の証言として「Meta の AI サポートアシスタントの脆弱性を突き、狙ったアカウントのパスワードリセットを実行した」という手口が伝えられている。AI が認証の番人を兼ねた結果、AI の防御耐性そのものが認証強度になってしまった事例だ。
サポート AI が「内部関係者」になる構造 #
Meta の AI サポートアシスタントは、ユーザの問い合わせ対応のために「アカウント所有確認」「リカバリーフロー起動」「セッション切り替え」など、本来は人間のサポート係が握っていた権限を一部委譲されている。実装上、AI は社内のヘルプデスクシステムから見れば 正当な内部アクター として動くため、AI を説得できれば、攻撃者は外側からの認証 (パスワード・SMS OTP) をバイパスし、内側からアカウントを取り戻すルートに乗れる。
これは伝統的なソーシャルエンジニアリングを 24 時間稼働・大量並列・無感情 で受ける窓口に置き換えた、という意味で構造的に新しい。人間のオペレータなら 100 回試せば声色や辻褄で気付ける確率が、対 AI では 0 に近づく。
AI サポートを「権限ある主体」として実装した時点で、その AI の jailbreak 耐性・プロンプトインジェクション耐性が、そのままアカウント認証の強度になる。MFA は意味を失う。
ハッカー視点でのリセットフロー攻撃 #
リカバリー系の攻撃は古典的だが、AI が間に入ると次の 3 点で従来より深刻になる。
守る側の打ち手 #
短期的には、AI サポートに アカウント実体権限を持たせない ──リセットの最終ステップは別系統の人間承認、または Hardware Key/リカバリーコードのサイドチャネルで切る──のが現実解だ。要人アカウントには「リセット停止モード」のような高保護プロファイルも要る。AI を内部アクターとして使うときの権限境界の設計は、これから認証の中心的な研究対象になっていくだろう。
COMMENTS 0
No comments yet — be the first to leave one.