2026-06-07 の一覧へ戻るホーム
Meta、AI チャットボットの悪用によるInstagramアカウントの乗っ取りが数千件あったと確認

2026/06/07 3:35

Meta、AI チャットボットの悪用によるInstagramアカウントの乗っ取りが数千件あったと確認

RSS: https://news.ycombinator.com/rss

元のHacker News記事へ ↗
要約

Japanese Translation:

Metaは、ハッカーがAIチャットボットのバグを悪用し、Instagramのアカウント20,000個以上を乗っ取ったという重大なセキュリティ不備を公表しました。このシステムは、パスワードリセット用として設計されたものの、誤って認証コードを受け取るメールアドレスを登録済みのアカウント所有者に限定せず、任意のメールアドレスに入力した者に送信してしまっていました。これにより、無許可ユーザーが数日以内にして完全なアクセス権を引き渡すことができました。脆弱性は二段階認証を行っていないアカウントを狙い、4月中旬から最近まで活性していました。

この侵害事件は、人工知能(AI)に対する大幅な投資が行われている時期に発生しており、人員削減を踏まえ、イノベーションとセキュリティのバランスに関する懸念が浮上しています。Metaはこの乗っ取られたボットを停止し、コードを修正済みですが、同社は直接メッセージやプロフィール情報など機密データの暴露があったことを認めています。メイン州在住の30人が直接通知を受けたものの、同社は犯罪者がアクセスした個人データ総量について現在把握していないと確認しています。専門家は、この事件がAIの急速な展開に伴う重大なリスクを浮き彫りにしているとし、ユーザーに対して即時にパスワードのリセットと、認証済みチャネル経由での再認証を行ってアカウントのセキュリティを回復するよう求めており、またMetaは同様の再発を防ぐため、現在自社プラットフォーム上の他のチャットボットの調査を進めています。

本文

メタ社、AI チャットボット悪用による大規模アカウント乗っ取りで被害者 2 万 2,000 人超へ通知

メタ(Meta)は、同社の AI チャットボットを悪用し、個人アカウントの管理者になりすましたハッキングキャンペーンについて、Instagram アカウントが乗っ取られた利用者に対し公式な通知を行いました。

被害規模と対象者数の明確化

先週前半に発見されたこの深刻なセキュリティ事件(404 Media および TechCrunch が報じ)については、メタが初めて以下のような具体的な情報を開示しました。

  • 影響を受けた利用者の数:少なくとも20,225 名
  • メイン州在住者:そのうち30 名
  • 事象の期間:4 月 17 日頃〜今週まで(長期間にわたる悪用)。

アカウント乗っ取りによる被害範囲

ハッカーたちは、被害者の以下の情報を取得・利用することができました。

  • Instagram アカウント全体および関連する他のアカウントへの引き継ぎ。
  • 連絡先情報や生年月日、プロフィール情報の閲覧。
  • プレイリスト(投稿)の確認。
  • デイレクトメッセージの閲覧。
  • アカウント全体のアクティビティ履歴の確認。

侵害の原因:AI チャットボットの設計不具合

メタは、今回の侵害が**「Instagram 用の AI 支援型アカウント回復システムの不具合」**に起因したと発表しました。

バグの詳細

  • 仕組み:ハッカーに対し、「パスワードリセットを送ってください」と指示するだけで、二段階認証が設定されていない任意のアカウントについてリセット操作が行われました。
  • 検証ミスの箇所:
    • ハッキングキャンペーンで使用されたコードパスにおいて、提供されたメールアドレスと Instagram アカウントに紐付いているメールアドレスの一致確認が適切に行われていませんでした
    • 結果として、ユーザー自身のメールアドレス(未関連付)にリセットリンクが誤送信されました。
  • 悪用の方法:ハッカーは自らが所有しない他人のアカウントに対してパスワードリセットリンクを受信させ、正当な所有者のようにアカウントを引き渡すことが可能となりました。

メタ社の発表と現在の状況

メタは今回の事案について以下の対応を行っています。

  • 個人情報アクセスに関する見解:ハッキング過程でどの程度個人情報がアクセスされたかについては**「不明」**としています。(※追跡調査中の可能性があります)
  • システムへの対応:
    • AI チャットボットの機能は現在停止されています。
    • ユーザーアカウントのリセット操作に使われていたコードパスは削除されています。
    • 他のプラットフォーム上の同種チャットボットについても再発防止の調査を継続中です。

利用者に求められる行動

メタは被害者に対し、以下の措置を取るよう強く推奨しています。

  • パスワードの即時変更(再設定)。
  • 安全かつ認証されたチャネルを通じた再度の身元確認(再認証)。

背景にある要因と考察

なぜこの深刻なセキュリティ侵害が発生したのかについては結論が出ていませんが、以下のような経営状況との関連性が指摘されています。

  • 組織的な変化:数千名の従業員解雇を実施しながら、一方ではトップ層への株式インセンティブを強化し、AI 開発への投資を拡大しているという背景。

同じ日のほかのニュース

一覧に戻る →

2026/06/07 4:17

Ntsc-rs ~アナログテレビおよびVHS のアーティファクトを模倣するオープンソースのビデオエミュレーター~

## 日本語翻訳: ntsc-rs は、単純なカラーフィルターではなく、実際の送信符号化の原理に基づいた高度なアルゴリズムを使用して、ヴィンテージ NTSC テレビと VHS テープのアートファクトを本物らしく再現する無料のオープンソースツールです。マルチスレッドおよび SIMD 加速を実現した Rust で構築されており、超標準解像度でもリアルタイムで動画を処理し、ntscQT といった旧来のツールよりも優れたパフォーマンスを発揮します。そのアルゴリズムは composite-video-simulator、zhuker/ntsc、および ntscQT で開発されたものを採用しています。独立したアプリケーション、ウェブプラットフォーム、または Adobe After Effects、Premiere Pro、DaVinci Resolve、Hitfilm、Vegas(すべての OpenFX ソフトウェアと互換性あり)用のプラグインとして利用可能であり、歴史的正确性と現代の効率性を兼ね備えており、クリエイターがリアルなアナログの美学を現代的なワークフローに直接統合できるよう支援します。

2026/06/06 23:59

Zeroserve:eBPF を用いてスクリプト可能なゼロ設定 Web サーバー

## 日本語訳: ゼロサーブ(Zeroserve)は、最小限のセットアップで静的ファイルを配信できる軽量かつ高性能な HTTPS サーバーです。各サイトごとに単一のタールアーカイブのみを用いて動作を開始できます。改行・認証・レート制限・リバースプロキシなどの機能を実装するサンドボックス化されたミドルウェアとしてユーザー空間で動作する eBPF プログラムをサポートしています。パフォーマンスの主な特徴は、io_uring I/O インターフェースと即時コンパイル(Just-In-Time コンパイル)された eBPF スクリプトによる卓越したシングルスレッド速度です。Ryzen 7 3700X ベンチマークでは、小規模ファイルにおいて nginx を約 17% 上回り、Caddy よりも大幅に高性能であることが示されました。そのアーキテクチャはバイナリコードを共有する複数プロセスの並列実行によりスケールし、各インスタンスはシングルスレッドモデルの monoio ランタイムを使用します。BoringSSL を用いた高度な TLS 機能もサポートしており、TLS 1.3、暗号化された ClientHello(ECH)、SNI サーティフィケート選択、JA4 フィンガープリント、および ECH リレーモードを含みます。運用上の利点として、原子スワップ(SIGHUP)によるホットリロードやダウンタイムなしの瞬時の構成更新が可能です。eBPF プログラミングモデルは、ヘッダー操作やテンプレート置換を行うために共有されるパーリクエストメタデータマップを持つ、ファイル名順ソートされたスクリプトチェーンを使用します。ヘルパー関数はリクエスト検査・変異、暗号処理(SHA-256、HMAC、base64)、JSON 処理、トークンバケット方式のレート制限、AWS SigV4、および XChaCha20-Poly1305 クッキーを用いた OIDC ログインをカバーします。デフォルト設定では eBPF インスタンスあたりのメモリ使用量の上限が 256 KB で、他の接続を止めることを防ぐためにプリエンプト間隔は 2 ms に設定されています。この間隔を増やすことで動的レスポンスのスループットをさらに向上させることが可能です。リバースプロキシとしての性能では、プーリングされた io_uring コネクションを用いて小規模応答において最先端の速度を発揮し、大規模ボディにおいては nginx と競合するレベルのパフォーマンスを示します。全体として、このサーバーは Lua や Perl などの遅いインタプリターに依存せず、ユーザー空間内で直接低レイテンシーとより細かいセキュリティ制御を提供します。

2026/06/07 0:55

走ることができます

## Japanese 訳文: The Atavist Magazine(第 176 号)のために発行されたバーリー・マイヤーによるこの調査報告書は、ジョン・H・マクキャン三世の犯罪界への生活を開示している。ニュージャージー州サマースポイント市の元市長であり裁判官であった彼は、連邦捜査官が 1984 年 9 月に提示した令状に応じる形で家族と共に米国を脱出し、母であるリーアは娘のエリン(当時 13 歳)とメレディス(当時 10 歳)を学校で下ろして逃亡し、偽名の元にグローバルな流亡を開始させた。マクキャンとそのビジネスパートナーのスティーブ・ヘイグマンは、南米からメキシコを経由して米国へと数トンのコカインを輸送するために、現金での賄賂、プライベートジェット機、チャシードア部の隠されたコンパートメントが装備された改装 Chevrolet ピックアップトラック、そして偽造文書を駆使して大規模なコカイン密輸-ring を運営していた。家族はマヨルカの別荘(「犯罪の海岸」)、ロンドンのホテル、ブリティッシュコロンビア州の牧場、後にワシントン州メアビルスの住宅などを含む豪華な隠れ家に住み続けたが、1986 年頭、サマス、ワシントン州にある国境 crossing で偽造されたカナダ運転免許証所持時に逮捕されるまでであった。連邦陪審団はジョン、リーア、スティーブ・ヘイグマン、サリー・ヘイグマン=マーチンに薬物関連の犯罪で起訴した。妻に対する起訴を回避するために税務犯罪に対して有罪判決を受け入れたマクキャンは、無期懲役(釈放なし)プラス 100 年の刑を受けた。エリンとメレディスは偽造文書の使用により別名の下、イングランドの王立海軍学校で通学した一方、密輸活動は続いていた。スティーブ・ヘイグマンは 1985 年末にカナダのウイストラーで偽造パスポート所持時に逮捕されたが、その真の氏名は天井板の中に埋め込まれていた彼は 1991 年に演出された擬似血出し事象によって拘束から脱出し、その後再捕獲され米国に引渡された。マクキャンはイラン・コントラ問題と中将マヌエル・ノリーガとのつながりを議会に対して証言し、早期釈放を試みた後、1996 年 9 歳でミネアポリスの連邦刑務所病院において白血病により 54 歳の生涯を閉じた。2024 年にエリンは母親リーアのゴミ捨て場から政府文書、陪審団記録、IRS(米国内税务局)面接ノートを含む二つの使用済み銀行箱を救出した。それらの資料には、妻が夫の犯罪について知り、 allegedly コカイン shipments の警護に従事していたことが明らかにされ、またマクキャンを家族の逃亡を組織して自身のイメージを守るためのキャリアの詐欺師として暴露し、娘たちに対して流亡の性質について欺いていたことも浮き彫りになった。リーアの死後、エリンは母親の記憶と和解し、トラウマある幼年期に対する憎悪ではなく感謝を選び取った一方、メレディスは父親の「冒険」叙事に背後にある完全な真実を理解するためにファイルをより深く掘り下げることを決断した。