Meta が公式データ漏洩通知で明かしたところ、Instagram のアカウント回復ツール『High Touch Support』に脆弱性があり、少なくとも 20,225 のアカウントが侵害された。攻撃は約 7 週間にわたって続いた。

脆弱性の詳細

このツール名称の通り高度なサポートを提供するため、Meta のエンジニアが AI チャットボットを導入していた。ロックアウトされたユーザーがアカウント復旧に利用する機能だ。だが実装上の不具合により、email verification ステップが完全にスキップされていた。

攻撃者は任意のメールアドレスを入力することで、別人のアカウントへのパスワードリセットリンクを生成・送信できた。リンク受け取り側は alert を感じるはずも、実際に被害が生じているかは認識できなかった。

Meta の記録によれば、4 月 17 日ごろから 5 月 31 日までの約 7 週間、この脆弱性が悪用されていた。検出の遅れは驚くべきことに、内部監視の仕組みが不十分だった可能性を示唆している。

被害の規模と内容

20,225 という数字は Meta の事前調査に基づくもので、同社は「upper bound(上限)」と説明している。合法的なアカウント所有者による アクセス試行も含まれている可能性を示唆している。

侵害の対象となったデータは以下の通り:

  • 連絡先情報(メールアドレス、電話番号)
  • 生年月日
  • 投稿内容
  • ダイレクトメッセージ
  • アカウント活動ログ
  • プロフィール情報
  • 連携サービス

Meta は「実際にどのデータが閲覧されたのか不明」と述べており、侵害の全容把握が困難な状況だ。

Meta による対応

検出直後、Meta は以下の措置を講じた。

まず AI チャットボットを一時的に無効化し、脆弱なコードを削除。生成済みのすべてのパスワードリセットリンクを無効化し、影響を受けたユーザーを mandatory security checkpoint へ移行させた。

復旧までの作業として、email verification プロセスの完全な再実装を計画している。さらに Instagram 全体に加え、Facebook、WhatsApp を含む Meta プラットフォーム全体のアカウント回復システムを監査する予定だ。

文脈と課題

このニュースは Meta のタイミングの悪さを象徴している。同社は最近、経営効率化の名目で大規模な人員削減を実施しながら、一方で AI 技術への投資を拡大中だ。当該チャットボットは「account security の強化」として公開時にマーケティングされていたが、実現とは裏腹に脆弱性が内在していた。

AI システムの導入が急速に進む業界では、security testing の品質確保が後回しになるケースが相次いでいる。今回の事件は、新機能の迅速なリリースと robust な security implementation の両立がいかに難しいかを示す事例となった。