「メアドを変えて」の一言でアカウントが乗っ取られた
海外テックメディア「The Decoder」が報じた内容によると、ハッカーたちはMetaのAIチャットボットに対してメールアドレスの変更を求めるという、非常にシンプルな手口でInstagramの著名アカウントを乗っ取ることに成功したといいます。特別なプログラムや高度な技術を駆使したわけではなく、チャットボットに「このアカウントのメールアドレスを○○に変えてほしい」と頼むだけで、実際にアカウント情報が書き換えられてしまったようです。
この話を聞いて、「そんな簡単なことで?」と思った方も多いのではないでしょうか。実は、これはAIチャットボット自体のバグというよりも、AIとアカウント管理システムをつなぐ「権限設計」の問題だと考えられています。AIチャットボットがアカウントの設定変更に関与できる仕組みを持っていた場合、その入口をきちんとガードしていなければ、誰でも悪用できる抜け穴になってしまいます。
なぜこんなことが起きるのか
AIチャットボットは、ユーザーの利便性を高めるために様々な機能と連携するように設計されることが増えています。「パスワードを変えたい」「連絡先を更新したい」といった要望にスムーズに対応できるように、アカウント管理の一部をAIが代行する形になっているケースがあります。これ自体は、ユーザー体験をよくするための合理的な判断です。
ただし、問題はそのときに「誰からの指示なのか」をきちんと確認する仕組みがあるかどうかです。本人確認(認証)のステップが不十分だと、AIは悪意ある第三者からの指示も「正規の依頼」として処理してしまいます。今回の事例では、まさにその認証フローに穴があったと見られています。影響を受けたのが著名アカウントだったことから、フォロワー数の多いインフルエンサーやビジネスアカウントがターゲットになりやすいことも示唆されています。
フリーランスのSNS運用にも影響する話
「自分は有名人でもないから関係ない」と思ってしまうかもしれませんが、フリーランスや個人事業主にとっても、この話は注意が必要なポイントを含んでいます。たとえば、仕事の受注や集客のためにInstagramを活用している場合、アカウントを乗っ取られればクライアントや見込み客との接点が一夜にして失われます。フォロワーが数千人規模であっても、ビジネスとして運用しているアカウントは攻撃者にとって価値のある標的です。
また、今後さまざまなSNSやサービスがAIチャットボットをアカウント管理に組み込んでいくことは十分に考えられます。MetaだけでなくX(旧Twitter)やLinkedInなど、仕事でよく使うプラットフォームでも同様の設計リスクが生じる可能性はゼロではありません。今回の事例は、そうした動向を先読みして自衛策を考えるきっかけとして受け取るのがよさそうです。
今すぐできる自衛策
現時点でできる対策として、まず二段階認証(2FA)の設定を見直すことをおすすめします。メールアドレスの変更や重要な設定変更の際に、追加の本人確認が求められる設定になっているかどうかを確認してみてください。多くのSNSでは認証アプリを使った二段階認証が提供されており、SMSよりも安全性が高いとされています。
それから、ビジネス用のSNSアカウントに登録しているメールアドレスが、今でもアクセスできる状態にあるかどうかも確認しておくとよいでしょう。乗っ取りが起きた際の復旧手段として、登録メール・電話番号・バックアップコードが最前線になります。いざというときのために、これらの情報を安全な場所に保管しておくことが大切です。
フリーランスへの影響
今回の件が示しているのは、AIが仕事の効率を上げてくれる一方で、それと同時にセキュリティ面でのリスクも新しい形で生まれている、ということです。AIを使うプラットフォームやサービスの数が増えるほど、「AIが何をできるか」だけでなく「AIがどこまでの権限を持っているか」を意識する場面が今後も出てくるでしょう。
フリーランスとして仕事の基盤をSNSに置いている方であれば、アカウントのセキュリティ設定を定期的に見直す習慣は、地味ですが確実に重要な作業です。特定のAIサービスを使わないとしても、利用しているプラットフォームがAIを組み込んでいる以上、まったく無関係とは言いにくい状況になってきています。
コメント