「丁寧に尋ねただけ」でハッキング成功：Meta AIが露呈した信頼設計の大失敗

重大だったのは、このAIチャットボットがMetaのアカウント復旧インフラ――内部では「High Touch Support（HTS）」と呼ばれる――に直接接続されており、人間のサポート担当者なら要求するであろう多段階の本人確認なしに、アカウントのメールアドレスを変更する権限を持っていたことです。ボットは指示に従い、攻撃者のメールアドレスを標的のプロフィールに紐づけました。メールアドレスが変更されてしまえば、攻撃者はあとは標準のパスワードリセットを実行し、自分が管理するメールアドレスに届いたリセットリンクから完全なアクセス権を取得したのです。アカウントの主要メールを制圧しているため、二要素認証（2FA）が求められることは一切ありませんでした。

被害の規模と影響

2026年4月17日から6月初旬にかけて、この仕組みによって少なくとも20,225件のInstagramアカウントが侵害されました。Metaはこの数字を、2026年6月5日付でメイン州司法長官に提出したデータ侵害届出の中で確認しています。乗っ取られたアカウントには以下のような著名なものが含まれています。

• オバマ政権時代のホワイトハウスアーカイブ（@ObamaWhiteHouse）
• 化粧品小売大手セフォラ（Sephora）
• 米宇宙軍の高官アカウント
• グレーマーケットで高額取引される多数のレアな1文字ユーザーネーム

乗っ取られたアカウントは、Metaが6月1日に緊急パッチを適用する前に、グレーマーケットで数千万円単位で転売されていたと報じられています。

なぜ成功したのか

これは高度なエクスプロイト（悪用コード）ではなく、設計上の失敗でした。MetaのAIサポートボットには、多要素認証（MFA）による確認や、元のメールアドレスへの帯域外検証、人間による審査といった「決定的な認証チェックポイント」を経由することなく、メールアドレスの変更やパスワードリセットの開始といった、アカウント所有権の中核機能を実行する権限が与えられていたのです。ある分析が要約したように、このAIシステムは「2万件以上のInstagramアカウントにとってのパスワードリセットのバックドア」として機能してしまいました。

欠陥2：個人の連絡先データを漏洩したパスワードリセットのロジックバグ

そのわずか一週間後、2026年6月6日に、InstagramのWeb版パスワードリセットフローにおいて、別の重大なロジックバグ（論理的な不具合）が発見されました。ユーザーがパスワードリセットを開始すると、システムは本来、一部を伏せた復旧オプション（例：j***@example.com）を表示するはずでした。ところが、実際のサーバー応答には、アカウントに紐づくマスクされていないメールアドレスと電話番号が含まれていたのです。

何が露呈したのか

このバグは、標的アカウントに対してパスワードリセットを要求した者なら誰でも、サーバーの応答データからアカウント所有者の完全なメールアドレスと電話番号を閲覧できたことを意味します。研究者たちは著名人のアカウントに対してこの欠陥を実証し、以下の人物の平文の連絡先情報を取得することに成功しました。

• Meta CEO マーク・ザッカーバーグのアカウント
• モデルのジョージナ・ロドリゲス

リスクは標的型攻撃にとどまりません。攻撃者はパスワードリセットを大量に要求し、返ってきた平文の連絡先情報をスクレイピングすることで、数百万人分のInstagramプロフィールに紐づく、検証済みのメールアドレスと電話番号のデータベースを構築することも可能でした。これは、2026年1月に外部の第三者がパスワードリセットメールを大量送信したものの、基になるデータまでは露出しなかったインシデントとは全く別のものです。

相乗的に高まる危険性

これら二つの欠陥は、技術的には独立していましたが、互いの深刻度を増幅させる関係にありました。AIへのプロンプトインジェクションで最初のアクセスを得た攻撃者は、その後、パスワードリセットのロジックバグを利用して、被害者のマスクされていないメールアドレスと電話番号を掻き出すことができたのです。たとえ最初の侵害が修復された後でも、攻撃者は被害者のプライベートな連絡先情報を保持し続けるため、他のプラットフォームでのソーシャルエンジニアリングやSIMスワップによる再乗っ取りを試みるために必要な手がかりを得てしまいます。

同じ一週間のうちに、同一のユーザーベースに対してこれらの脆弱性が連続して発生したことは、単発の技術的ミスというよりも、より深い構造的問題を示唆していました。

より広範なセキュリティ上の懸念：特権的な攻撃対象領域としてのAIエージェント

特にプロンプトインジェクション攻撃は、AIエージェントのセキュリティにおける一つの画期的なケーススタディとなり、大手プラットフォームがAI統合をどのように設計しているかについて、研究者たちからの強い警告を引き起こしています。

決定的な認証チェックポイントの不在

中核的な失敗は「アーキテクチャ（基本設計）」にありました。Metaは、大規模言語モデル（LLM）を搭載したチャットボットに、人間の担当者ならば直面するであろう認証のガードレールなしに、機密性の高いアカウント変更を実行する能力を与えました。MFAによるチャレンジも、登録されている元のメールアドレスへの確認通知も、人間が介在する検証プロセスも一切ありませんでした。ボットは自然言語で表現された指示にただ従っただけです。セキュリティ研究者たちはこれを、「利便性」と「認証」を混同したものだと評しています。つまり、本人確認のために存在するプロセスを、AIを使って早送りしてしまったのです。

パスワードリセットのバックドアと化したAI

AIをユーザー管理API（アプリケーション・プログラミング・インターフェース）に直接接続したことで、Metaは自社のアカウント復旧システムに、意図せずして裏口を作り上げてしまいました。この攻撃には、従来の意味での脆弱性は一切必要としませんでした。SQLインジェクションも、OAuthトークンの窃取も、クレデンシャルスタッフィングも不要だったのです。これは「信頼境界」の設計に関する失敗でした。企業は、特権的な呼び出しを実行する前に、ハード（絶対的な）な事前認証チェックポイントを実装することなく、AIが正当な目的のためだけにその能力を使うだろうと想定してしまったのです。

他製品への波及リスク

専門家たちは、AIエージェントに決定的な検証なしで管理機能への直接アクセスを許可するこの設計パターンが、Metaの他のサービスで複製されたり、他社のプラットフォームで採用されたりすれば、システム全体に広がる脆弱性になり得ると警告しています。もはや問題は「LLMがプロンプトインジェクションで騙されるかどうか」ではありません。「そもそも、なぜそのLLMに王国の鍵を渡してしまったのか」です。クラウドセキュリティアライアンス（CSA）はこのインシデントを「Helpdesk Hijack（ヘルプデスクの乗っ取り）」と題した研究ノートとして文書化しており、セキュリティコミュニティがこの障害モードをいかに深刻に受け止めているかを物語っています。

Metaの対応

MetaはAIチャットボットの脆弱性に対し、攻撃手法が公に文書化されたのと同じ2026年6月1日にパッチを適用しました。同社は修正を確認しましたが、当初、影響を受けたアカウント数を公表しませんでした。その数（20,225件）は、メイン州司法長官へのデータ侵害届出を通じて明らかになりました。パスワードリセットのロジックバグも修正されましたが、公開情報によると、そのパッチ適用時期は前者ほど明確には文書化されていません。

大局的な視点

これら二つのインシデントは、AIとセキュリティをめぐる議論における転換点を示しています。長年、プロンプトインジェクションは主に研究的な好奇心の対象として扱われてきました。チャットボットを騙して恥ずかしい発言をさせたり、コンテンツフィルターを迂回させたりする程度のものです。今回のInstagramへの攻撃は、LLMがユーザーアカウントに対する真の権限を与えられたとき、プロンプトインジェクションが武器と化すことを実証しました。AIエージェントを展開するすべてのプラットフォームが今直面している問いは、「ボットを騙せるかどうか」ではなく、「攻撃者がどれほど丁寧に頼もうとも、言葉巧みに回避できない、AIを介さないハードな認証ゲートによって、そのボットの機能を制限すべきではないのか」ということなのです。