技術的な説明
更新:Metaは2026年6月6日~7日頃にメイン州司法長官に正式なデータ漏洩通知を提出し、AI搭載のHigh Touch Support (HTS) Instagramアカウント復旧チャットボットが2026年4月17日~5月31日の間に20,225件のアカウント侵害に利用されたことを確認しました。別のコードパス内のバグにより、パスワードリセットリクエスト者が提供したメールアドレスがターゲットアカウントに既に関連付けられているメールアドレスと一致しているかどうかの検証に失敗しました。攻撃者はMetaのチャットボットに自分のメールアドレスを任意のアカウントにリンクするよう要求し、有効なリセットリンクを受け取り、2FAなしでアカウントを乗っ取りました。この事例にはオバマ・ホワイトハウス、Sephora、米国宇宙軍職員に属する著名なアカウントが含まれます。
攻撃経路
AI搭載サポートチャットボットのソーシャルエンジニアリング:攻撃者が攻撃者が制御するメールアドレスを使用してパスワードリセットリクエストを送信し、HTSツールがメール所有権検証ステップをスキップして、攻撃者のアドレスに有効なリセットリンクを送信します。技術的なエクスプロイトまたは認証情報は不要で、チャットボットへの自然言語リクエストのみで実行されます。
影響を受けるシステム
Meta Instagramアカウントで(a) HTS AI支援アカウント復旧ワークフローを使用し、(b)二要素認証が有効になっていないアカウント。確認された影響を受けたアカウントは約20,225件です。
緩和策
Metaはhtsを無効化し、該当期間中に生成されたすべてのリセットリンクを無効にし、影響を受けたアカウントを必須のセキュリティチェックポイントに登録し、パスワードのリセットを強制しました。ユーザーは以下を実施すべきです:(1) すべてのMetaアカウントで2FAを直ちに有効にする、(2) 2026年4月17日~5月31日のウィンドウのアカウント活動ログを確認する、(3) リンクされたサードパーティアプリを監査する。Meta AI統合を使用するエンタープライズは、それらを再度有効にする前にAI支援アカウントまたはアクセスフロー内の認証チェックを検証すべきです。