「AIサポートに頼んだだけでパスワードが変更できてしまった」——そんな信じがたい手口でInstagramアカウントが乗っ取られていたと報じられています。9to5Macによると、被害は約20,225件のアカウントにのぼり、その中にはホワイトハウス(オバマ政権期)や米宇宙軍関係者、セキュリティ研究者のJane Wong氏など著名アカウントも含まれていたとされます。
Meta AIに「メールアドレス追加」を頼むだけだった手口
攻撃の手順は驚くほど単純でした。報じられている流れは以下の通りです。
- 対象アカウントのパスワードリセットを開始する
- 方式の選択肢から「Meta AI Support Assistant」を選ぶ
- チャットボットに対し、そのアカウントに新しいメールアドレスを追加するよう依頼する
- ログインしていないにもかかわらず、ボットがメールアドレスを追加してしまう
- 新しいメールアドレスに送られた認証コードでパスワードを変更する
- 結果としてアカウント所有者は全デバイスから強制的にログアウトされる
Multi-Factor Authentication(MFA)が設定されていないアカウントが標的となっており、認証要素の追加確認なしに乗っ取りが成立してしまう構造でした。Dark Web Informerは2026年6月1日、この脆弱性を実際に突いた検証動画を公開しています。
ホワイトハウス・米宇宙軍も標的に
TechCrunchは、被害に遭ったアカウントの中にはホワイトハウスのオバマ政権期のInstagramアカウント(2017年以降は休眠状態と見られる)や、米宇宙軍のチーフマスターサージャントJohn Bentivegna氏のアカウントが含まれていたと伝えています。さらにセキュリティ研究者のJane Wong氏も自身のアカウントが乗っ取られたと明らかにしました。
著名アカウントが標的となった点からも、単なる愉快犯にとどまらず狙い撃ちの色合いを帯びた事案と言えます。
約2万件侵害、Metaは該当ツールを無効化
SecurityWeekは、Metaが約20,225件のInstagramアカウントが侵害されたと公表したと伝えています。ごく一部は正規のユーザー要求だった可能性もあるものの、大半は不正アクセスだったと報じられています。
攻撃者がアクセスできた可能性のある情報には、以下のようなものが含まれます。
- プロフィール情報
- メールアドレス・電話番号・生年月日
- ダイレクトメッセージ
- ソーシャル投稿
- アカウントの利用・操作履歴
Metaは悪用された当該ツールを無効化し、脆弱性の修正を確認した上で再開する方針を示しました。脆弱性を突いて生成されたパスワードリセットリンクはすべて無効化済みで、影響を受けたアカウントには強制的なセキュリティチェックポイントが適用され、パスワードもリセットされています。アカウント所有者への通知も完了したとのことです。
今すべきこと——MFA未設定なら即時設定を
今回の脆弱性自体はすでにパッチが当てられたと報じられているものの、攻撃の前提となったのは「MFAが設定されていないアカウント」でした。AIアシスタント機能の権限境界を巡る攻撃は今後も増える可能性があり、現時点ではMFAの設定が最も実効性のある自衛策です。
Instagramでは、プロフィール画面右上のメニューから「設定とプライバシー」→「アカウントセンター」→「パスワードとセキュリティ」→「二段階認証」と進み、対象アカウントを選んで認証アプリ・SMS・WhatsAppのいずれかを有効化できます。認証アプリ(Google Authenticator等)が最も安全性が高い選択肢です。
侵害事案としては「修正済み」とされてはいるものの、AIエージェントに過剰な権限が委ねられている設計面のリスクは残ります。同種の脆弱性が他のサービスでも顕在化する可能性は十分にあるため、続報を待ちつつ、自身のSNSアカウントの認証設定を改めて見直すのが妥当でしょう。
脆弱性ツール「High Touch Support(HTS)」の正体と7週間の放置
問題のあったAI支援型アカウント復旧システムは「High Touch Support(HTS)」と呼ばれる仕組みで、ロックされたアカウントの所有者を再度ログインへ導く目的で設計されていました。
検証不備と発覚までの空白
HTSの根本的な欠陥は、パスワードリセットを要求した人物が入力したメールアドレスが、対象アカウントに紐付くメールアドレスと一致しているかを確認していなかった点にあります。任意のアカウントに対するリセットリンクを攻撃者自身の受信箱に届けられる構造で、二段階認証が未設定であればそのまま乗っ取りが完了しました。BleepingComputerによれば、悪用は2026年4月17日頃から始まっており、Metaが事態を認識したのは5月31日でした。およそ7週間にわたり扉が開いた状態が続いたことになります。攻撃者はVPNで標的の所在地を偽装し、Instagramの自動保護機構を回避するという周到さも見せていました。
狙われたのは「OGユーザー名」——闇市場で高値で転売
被害の構図を金銭面から見ると、著名アカウントだけでなく短い英単語型の「OGユーザー名」が集中的に狙われていたことが分かります。
- @hey、@jowo: アンダーグラウンド市場で再販価値が高いとされる短ハンドル
- Sephora: 化粧品大手の公式アカウントも標的に含有
- 転売チャネル: 私設Telegramチャネル経由で迅速にフリップ
- 推定価値: 一部のアカウントは合算で100万ドル超の市場価値があったと報告
CyberSec Guruは、Dark Web InformerがTelegram上で流通する盗難アカウントのリスティングを追跡し、転売の実態を確認したと伝えています。脆弱性自体はオンチェーン調査で知られるZachXBTおよびDark Web Informer周辺の研究者によって指摘されており、純粋な技術的興味というより、希少ユーザー名を金銭化する商業的な動機を持つ攻撃グループの関与が色濃く浮かび上がる事案となっています。
Q&A
Q. 今回の脆弱性はすでに修正されていますか? Dark Web Informerによれば、検証動画の公開時点で「短時間前にパッチされた」と報告されています。Meta側も悪用されたツールを無効化し、脆弱性修正を確認後に再開する方針を示しました。
Q. 自分のアカウントが影響を受けたかどうかはどう確認できますか? Metaは影響を受けたアカウントの所有者に通知を行ったと報じられています。該当アカウントには強制的なセキュリティチェックポイントが適用され、パスワードもリセット済みです。一方、通知が届いていなくても安心はできません。以下を順に確認しましょう。
- Instagramアプリの「設定とプライバシー」→「アカウントセンター」→「パスワードとセキュリティ」→「ログインアクティビティ」で、見覚えのない端末・地域からのログインがないか確認する
- 同じ画面の「メール」項目で、自分が登録した覚えのないメールアドレスが追加されていないか確認する
- 心当たりのない強制ログアウトを経験した場合は、すぐにパスワードを変更しMFAを有効化する
特に「登録した覚えのないメールアドレス」が残っているケースは要注意で、見つけたら即削除してください。
Q. どうすれば同種の被害を防げますか? 今回の攻撃はMFA未設定のアカウントを狙ったものでした。InstagramのMFA(二段階認証)を有効化することが、現時点で最も実効性のある自衛策です。
