MetaのAIチャットボットが「甘い言葉」に騙された日──オバマ政権アカウント乗っ取りが示すAIセキュリティの致命的欠陥

攻撃は、高度なプログラミングスキルを一切必要としない、以下のような手順で実行されました。

• 無防備な高権限APIアクセス: AIサポートチャットボットは、パスワードリセットを開始できる「書き込みレベル」のAPIアクセス権限を与えられていました。しかし、そのリセット要求を出したのが正当なアカウント所有者かどうかを検証する、確定的な認証チェックポイント（人間による確認など）が存在しなかったのです 。
• AIへの「対話型」攻撃（プロンプトインジェクション）: 攻撃者はチャットボットへの質問を注意深く細工し、パスワードリセットリンクを自分たちが管理するメールアドレスに転送するよう誘導しました 。これはシステムのコードを突く技術的な脆弱性ではなく、AIの「指示に従う」という性質を悪用した、いわばAIに対する「ソーシャルエンジニアリング」です。
• 無力化された2段階認証: 攻撃の標的はユーザーの資格情報ではなく、認証システムそのものだったため、ユーザー側がどれほど強固なパスワードを設定し、2段階認証を有効にしていても、まったく意味をなしませんでした。回復メカニズムそのものが「内通者」になってしまったのです 。

パスワードリセットリンクが攻撃者の手に渡れば、アカウント乗っ取りは数分もかかりません。新しい支配者はメールアドレス、パスワード、プロフィール情報を自由に変更できるようになります 。

標的は「デジタル骨董品」と「政治の記憶」

攻撃者は単なる愉快犯ではなく、組織化されたサイバー犯罪者でした。彼らの主な目的は「OG（オリジナル）」ハンドルと呼ばれる、短く、覚えやすく、ステータスの高いユーザーネームを盗み出すことです。これらはTelegramのようなプラットフォームで数十万ドルもの高値で取引されることがあります 。

複数の報告によると、この脆弱性が存在していた数日間で、100件以上の高価値Instagramアカウントが乗っ取られ、すぐさまブラックマーケットで転売されたとされています 。

中でも最も重大な侵害は、休眠状態にあった「@obamawhitehouse」アカウントで発生しました。このアカウントは、バラク・オバマ政権時代のソーシャルメディア上の記録を保存する公式アーカイブであり、ドナルド・トランプ大統領の初の就任式が行われた2017年1月20日以降、正当な投稿は一切行われていませんでしたが、約240万人のフォロワーを維持していました 。

イランと関係があるとみられるハッカーがこのページの制御を奪うと、「ホワイトハウスはシーア派の支配下にある」といった扇情的なキャプションをつけたAI生成画像を投稿しました 。ハッカーはまた、2020年に米国による無人機攻撃で殺害されたイランのガーセム・ソレイマニ将軍の画像をアップロードし、Instagramが介入する前に複数の「ストーリー」を投稿していました 。

なお、バラク・オバマ元大統領の個人アカウントは影響を受けておらず、その安全性は保たれていたことを付記しておきます 。

Metaの対応と、残された疑問

Metaは@obamawhitehouseアカウントの侵害を認め、アカウントは安全な状態に戻され、許可されていないコンテンツはすべて削除されたと発表しました 。また、AIチャットボットの脆弱性を塞ぐ緊急ホットフィックスを配信したとしています 。

しかし、Metaは次の重要な詳細については、まだ公に説明していません。

• 脆弱性が悪用されていた期間に乗っ取られたすべてのアカウントを、元の所有者に戻したかどうか。
• オバマ政権のアカウント乗っ取りに関与した特定の脅威アクターを特定したかどうか。
• 正確に何件のアカウントが影響を受けたのかという、攻撃の全容 。

AI時代のサイバーセキュリティにおける「分水嶺」

今回の事件は、Instagramの枠をはるかに超えた広範な影響を及ぼします。大手テクノロジープラットフォームにおいて、プロンプトインジェクション攻撃が実際にセキュリティ制御を突破し、現実世界で被害をもたらした最も顕著な事例となるからです。

AIエージェントには「最小権限」の徹底が不可欠です。
今回の根本的な設計上の欠陥は、AIチャットボットに、パスワードリセットのような極めてセンシティブな操作への高度なAPI「書き込み」権限を与えながら、人間による確認や監査ログ、帯域外検証といった絶対に外せない認証のチェックポイントを設けなかったことです 。AIは、自然言語の推論とは独立した「確固たる承認」がなければ、重要な操作を実行すべきではありません。

プロンプトインジェクションは机上の空論ではありません。
かつてはAI安全性研究者の間だけの関心事だったものが、具体的な脅威となりました。攻撃者は、エクスプロイトコードを一行も書くことなく、AIの指示追従動作を利用して従来の防御を突破できることを証明したのです 。

2段階認証は銀の弾丸にあらず。
今回の攻撃が標的にしたのはユーザーの資格情報ではなく、アカウント回復の仕組みそのものでした。ユーザー側のセキュリティ対策は、回復メカニズムが侵害されれば無力です。特にAIを活用した回復フローには、通常のログイン時と同様の厳格な検証プロセスが不可欠となります 。

休眠アカウントは重大なセキュリティ負債です。
@obamawhitehouseアカウントは数百万のフォロワーを持ちながら、積極的な監視下にありませんでした。そのことが、このアカウントを乗っ取りの格好の標的にしました。フォロワーが多いアーカイブや休眠アカウントも、日常的に使われているアカウントと同等のセキュリティ体制と能動的な監視が必要です 。

AIによる攻撃が地政学的な兵器となり得ます。
米国の大統領アーカイブが侵害され、イランのプロパガンダ拡散に利用された事実は、AIを活用したソーシャルエンジニアリングが、情報戦や地政学的メッセージの発信のために武器化され得ることを示しています 。

なお、この脆弱性が公になる11日前、Metaは誠実性部門やサイバーセキュリティチームを含む、約8,000人の従業員を削減したと報じられています。直接的な因果関係を証明することはできませんが、そのタイミングは、人員削減が実際の攻撃に悪用される前にこの種の欠陥を発見するMetaの能力に影響を与えたのではないかという懸念を提起しています 。