2026-06-02 の一覧へ戻るホーム
最新のインスタグラムの「 exploits(バグ)」で最もユニークなのは私がこれまでに見た中で一番奇妙なものです。

2026/06/02 1:31

最新のインスタグラムの「 exploits(バグ)」で最もユニークなのは私がこれまでに見た中で一番奇妙なものです。

RSS: https://news.ycombinator.com/rss

元のHacker News記事へ ↗
要約

日本語翻訳:

洗練されたセキュリティ上の不備により、ハッカーらは警報を触発することなく Instagram のアカウントを乗っ取り、@obamawhitehouse や @ocmssf のような高価値なユーザー名を対象に Meta の「Takeover Flow」を利用した。攻撃者は被害者のユーザー名を使用してプロセスを開始し、VPN または代理サーバーを介して請求をアカウントの報告された都市の近くから経路化することで、位置情報に基づくセキュリティを回避した。彼らは Meta の AI サポートチャットボットに連絡し、アカウントが侵害されたことをごりごしくれ、検証コードを受信するメールアドレスを任意で指定することを要求した。Instagram のシステムは、この要求されたメールアドレスが以前にそのアカウントと関連付けられていたかどうかを検証しなかった。AI がコードを送信すると、それはパスワードリセットリンクのトリガーとしての検証に使われ、完全な所有権が付与された。Meta のサポート AI はビデオでの自己撮影(生真面目)を身分証明として要求する可能性があるが、ターゲットのフィードから単純に AI でアニメーション化された公開写真は、このチェックを成功裡に回避した。回復フローは、そのリクエストを「本当の」所有者による完全なアカウントリセットとして扱い、2FA を完全に回避し、メール、テキスト、またはプッシュ通知を触発することなく進んだ。正当なユーザーのセッションは沈黙的に破棄され、連絡先情報が攻撃者の情報で置換されたため、標準的なチャネルでの回復は不可能になった。ブラックマーケットの Telegram グループが「アカウント乗っ取り」サービスを提供し始め、高価値なハンドルを利活用した。この脆弱性は数週間、あるいは数ヶ月間 Meta が修復するまで稼働していたと報告されており、その地下市場は一瞬で消え失せた。実験的な AI サポートグループに参加しているユーザーは、自動化されたアシスタンスを手動で無効化できないため、引き続き曝されている。この事象は、将来的な回復プロセスが人工知能や位置情報に基づく回避技術によって容易に操作されるのを防ぐためには、自動的なりすましおよびリモートスプーフィング攻撃に対するより強力な検証プロトコルの強化を強く示唆している。

本文

オバマ前大統領を含む多数のインフルエンサーアカウントが乗っ取られた裏側:脆弱性とは「人間の軽率」だったのか

昨日、オバマ元大統領を含む複数の著名人物の Instagram アカウントが乗っ取られる事件が発生しました。ユニコーン企業規模のシステムにおいて 15 年以上にわたりセキュリティを研究している私が見れば、この攻撃は**「現実離れしたほど荒唐無稽で、信じられないほど軽率」**な事例と言えます。

アカウント乗っ取りの手順

攻撃が成功するためのプロセスはシンプルですが、致命的です。

ステップ 01:所在地の偽装とサポートへの接触

  • 情報収集: 攻撃者はあなたのユーザーネームがあれば十分です。プロフィールや「概要」欄から公開情報を入手し、数百通りの方法で所在地情報を集めます。
  • 位置情報フェイク: VPN またはプロキシを使い、居住地に近いサーバーに接続します。これにより、Meta のセキュリティアルゴリズムが疑わしいと判断しないよう位置情報を偽装します。
  • サポート詐欺: 所在地認証が通過した時点で、Meta のサポート AI に「アカウントが乗っ取られた」と報告します。AI から送られてくる検証コードを、攻撃者が指定する任意のメールアドレスへ送信させる指示を与えます。

ステップ 02:これで完了

  • ゼロ認証によるリセット: 提供されたメールアドレスが過去に実際に使用されていたかどうかの追加確認は行われていません。
  • 手順: AI からコードを受け取った攻撃者は、それをそのまま返信させ、認証を完了させます。
  • 権限奪取: プラットフォーム側から新しいパスワードのリセットリンクが届くと、アカウントの完全な管理権が攻撃者に引き渡されます。

注意: 現在、Meta の AI は動画での自己撮影(バイオメトリクス認証)を厳しくチェックしておらず、ターゲットの公開写真を元に作成したAI アニメーション動画も簡単に通過しています。

なぜ 2 段階認証も防御にならないのか

この攻撃手法は高度な権限を持つ復旧フローを利用するため、従来のセキュリティ対策では無効化できません。

  • 完全リセット: このフローは「真の所有者」によるアカウントリセットとして処理されるため、元々の 2 段階認証は一切回避されます。
  • 通知なしの変更: メールアドレスとパスワードが変更されますが、メールや SMS、プッシュ通知などの警告は一切出ません
  • 回復不可能: メールアドレスと電話番号自体が攻撃者のものになっているため、真の所有者による復旧開始すら不可能です。
  • 人手不足: エスカレーション窓口はなく、チャットボットとの対話のみで対処を迫られます。AI サポート対象(A/B テスト)の場合、もうどうすることもできない状態です。

地下市場での取引とリスク

この脆弱性を利用して、暗躍する犯罪組織がアカウントを売買しています。

  • テレグラムでの取引: Telegram 上の秘密グループで「アカウント乗っ取り」サービスが提供されており、高額で即座の処理を謳うケースがあります。
  • 取引例:
    • 短いハンドル名だけで数十万から数百万ドルという価値を持つアカウントが存在します。
    • オバマ前大統領やアメリカ空軍の首席上級士官(ocmssf)など、著名なアカウントが売買・利用されています。

現状と教訓

Meta 側での対応により、現在テレグラム上の関連グループは静まり返っていますが、過去の活動範囲は大きかったと考えられます。

  • 活動期間: この手口は少なくとも数週間から数ヶ月間、安易に実行されていました。
  • 企業の責任: 資産価値が 1.5 兆ドルという巨大企業が、堅牢なセキュリティガードレールを欠いている現状は深刻です。
  • 結論: サポート AI が「十分丁寧に見せるだけで」ユーザーのメールアドレスを変更できる状況は、滑稽でありながら恐ろしい問題です。

この事件をきっかけに、セキュリティ意識の高まりが期待されます。

同じ日のほかのニュース

一覧に戻る →

2026/06/02 5:40

デバッグプロジェクト

## 日本語訳: Debug は、地球上で最も致命的な動物の一つである*Aedes aegypti*蚊の個体群を安全に抑制し、デング熱、ジカ熱、黄熱病、チクングニア熱といった致死性の疾患に対する革命的な対策を開拓しています。化学物質や遺伝子改変に依存する従来のアプローチとは異なり、当社の技術は自然存在する細菌*Wolbachia*を運ぶ雄性不稔の雌蚊を放出します。この生物は、これらの雄蚊が野生の雌蚊と繁殖することを妨げ、毒物を導入することなく個体群を自然に減少させます。吸血せず病気を媒介しない雄蚊であるため、「良い虫」としてこれを放出することは、立ち枯れた水の撤去や効果低下しつつ毒性が強まり過ぎる殺虫剤の使用といった陳腐な手法の持続可能な代替手段を提供します。現在、ほとんどの蚊媒感染症には効果的なワクチンがないことを考慮すると、この解決策は不可欠な新たなアプローチとなります。科学専門知識を国際パートナーと組み合わせ、Debug は地域コミュニティおよび政府との協力のもとで放出規模の拡大を目指しています。その最終的な影響は大きいです:刺す蚊の数を減らして病気の伝播率を下げ、安全でスケーラブルな生物学的制御戦略を通じて数百万人の人々がより長く健康な生活を送るのを支援します。 ## 元テキスト: ## Summary: Debug is pioneering a revolutionary method to combat deadly diseases like dengue, Zika, yellow fever, and chikungunya by safely suppressing populations of *Aedes aegypti* mosquitoes, which are among the deadliest animals on Earth. Unlike traditional approaches relying on chemicals or genetic modification, their technology releases sterile male mosquitoes carrying the natural bacterium *Wolbachia*. This organism prevents these males from reproducing with wild female counterparts, naturally causing population decline without introducing toxins. Since male mosquitoes do not bite or spread disease, releasing these "good bugs" offers a sustainable alternative to outdated methods like clearing standing water and using pesticides that are losing efficacy or becoming too toxic. Given that most mosquito-borne illnesses currently lack effective vaccines, this solution provides a vital new approach. By leveraging scientific expertise alongside international partners, Debug aims to scale up releases in collaboration with local communities and governments. The ultimate impact is significant: reducing biting mosquitoes to lower disease transmission rates, thereby helping millions of people live longer, healthier lives through a safe and scalable biological control strategy.

2026/06/02 1:41

スタンフォード大学CS336コース用 AI エージェントガイドライン

## 日本語翻訳: 本ドキュメントは、スタンフォード大学の CS336 コースにおいて AI コーディングアシスタントが従う厳格な倫理的境界線を設定する:すなわち、これらは何らかのコードを書いたり課題を直接解決したりしてはならない。むしろ、これらのエージェントは、学生による学習体験を維持することを目的とした教学補助手段としてのみ機能すべきである。本コースが手動作業としての Python と PyTorch の実装に大きく依存し、かつ支援枠組みが限られていることを考慮すると、AI の主たる役割は、公式の講義資料とデバッグツールの活用を通じて背後にある理論を説明し、エッジケースにおけるロジックを検証し、学生を導くことにある。 ユーザーから直接の修正、TODO 節の完了、またはリポジトリへの編集といった要請を受けた場合、エージェントはその要求を拒否し、概念の説明や、shape アサーションやアブレーションなどの健全性チェックを提案することで方向転換しなければならない。この方針は、学生がトラン스포ーマー、最適化アルゴリズム、トレーニングループなど複雑なコンポーネントの習得という核心的学習目標を回避することを防止するものである。システムはこの方針を強制するためには、明確な質問を投げかけ、公式ドキュメントを参照し、単に「如何做るか」を届けるのではなく、技術的決定の背後にある「なぜか」を説明することで、デバッグと概念的理解を通じて真の能力を確保するよう求める。

2026/06/02 2:37

RGB 値を 255 で正規化すべきか 256 でべきか

## Japanese Translation: ### 要約: RGB イメージを浮動小数点数に変換するための正規化手法として、255 で割る(標準)と、バイアスを 0.5 加算してから 256 で割る(代替)の 2 つを区別している。アンドリュー・ケスラー(2015 年)およびジョナサン・ブローに言及し、GPU は通常、標準のアプローチ(0 を 0.0 にマッピング)を使用することを説明しており、これは一般的なイメージ読み込みにおける再構築誤差を最小限に抑えるが、ノイズ変換時に極彩色のビンが [0,1] 範囲をわずかに超えてしまう。代替手法は「ミッド・トレッド」量子化器(L=256)を使用し、浮動小数点値を整数の真ん中に正確に配置することで、特にデITHERリングアプリケーションにおける特定の利点を提供し、開発者が管理する内部の保存/読み込みパイプラインにおいて有益である。しかしながら、これは標準読み込みのイメージと混在させた場合に再構築誤差を生じさせ、バイアスが加算されたことを知らないと黒像素を検出することが困難になる。したがって、このテキストは不確実なまたは外部のイメージソースに対しては、正確な色検出を確保するために安全な 255 の正規化を使用することを推奨し、256 の手法はゼロからのマッピングではなく内部の一貫性とデITHERリング性能が優先される制御されたワークフローに留められていることを示唆している。 - **改善の理由**: 改良版では、ミッド・ライザー対ミッド・トレッドといった特定の技術的な区別を再統合し、キーポイントで見つかった元の著者/ソースへの言及を維持し、「未知のイメージ」といった曖昧な表現を「外部のイメージソース」として明確化し、黒像素検出の問題を明らかにするためにバイアス加算の具体的な例を含めている。主要な助言は維持しつつ、キーポイントリストで提供された技術的な深みを回復している。