MetaのAIサポートが悪用、Instagram大量乗っ取りの仕組みと教訓

• MetaのAIカスタマーサポートエージェントは2026年6月にVPN位置偽装とメール変更依頼だけで悪用され、セキュリティ専門メディア「404 Media」が報道した
• Obama行政の公式Instagramアカウントが乗っ取られ親イランの投稿に使用されるなど、価値の高い複数のアカウントが被害を受けた
• デューク大学のNeil Gong氏らはAIエージェントが「指示を忠実に実行する」という設計特性そのものが悪用されたと指摘し、従来型の本人確認との組み合わせが必須だと訴えている

事件の全体像

2026年6月5日、セキュリティ専門メディア「404 Media」はMetaのAIカスタマーサポートエージェントを悪用したInstagramアカウント乗っ取り攻撃を報じた。攻撃者が使った手口は驚くほど単純で、高度なプログラミングやゼロデイ脆弱性（未発見・未修正のセキュリティ上の欠陥）は一切不要だった。

MetaのAIサポートエージェントは、ユーザーがアカウント関連の問題を自力で解決しやすくするために導入されたサービスだ。ログインできなくなったアカウントの復旧や、連絡先情報の更新といった手続きをAIが自動でサポートする仕組みで、利便性の向上を目的としていた。しかしこの利便性が、そのまま悪用の入り口となった。

攻撃者に必要だったのはVPN（仮想プライベートネットワーク）と、AIエージェントへのシンプルなメッセージだけだ。標的アカウント所有者と同じ国・地域にいるようVPNで偽装し、MetaのAIサポートに「このアカウントに新しいメールアドレスを登録してほしい」と依頼する。エージェントは疑いを持たず、攻撃者が管理するメールアドレスをアカウントに紐付けた。その後はパスワードリセットで乗っ取りが完了する。

攻撃の3ステップ

通常、アカウントのメールアドレス変更は慎重な本人確認を経て行われるべき操作だ。しかしMetaのAIサポートエージェントは位置情報（VPNで偽装済み）とメッセージ内容だけを判断材料としており、操作を要求しているのが本当にアカウント所有者かどうかを確認する仕組みが実質的に機能していなかった。

ウィスコンシン大学マディソン校のSomesh Jha教授はこの問題を、AIエージェントが「タスクを完了しようとする優等生のような性質」を持つことで説明する。エージェントは与えられた指示をできる限り実行しようとする。この設計思想自体は正しいが、「誰が指示しているか」を厳密に確認しないままでは、その忠実さが弱点に転じてしまう。

Obama公式も被害、転売目的も

最も注目を集めた被害例はObamaホワイトハウスの公式Instagramアカウントだ。攻撃者はアカウントを乗っ取った後、親イランの政治的メッセージを投稿した。フォロワーが多く影響力のあるアカウントが悪用されたことで、情報操作の手段としてこの手口が有効であることも同時に示された。

一方、政治的な意図とは別に、短い単語やブランド名に近いユーザー名を持つアカウントも複数が狙われた。こうしたアカウントは希少性から転売市場で高値がつくため、金銭目的の攻撃も行われたとみられる。404 Mediaの報道ではObama公式アカウントを含む複数の具体的なケースが確認されており、被害アカウントの全容は現時点では公開されていない。

専門家が指摘するAI設計の問題

ジョージタウン大学のJessica Ji氏は「Metaほどの大手テック企業でさえセキュリティ上の歯止めが不十分だったことに驚く」と述べ、AIエージェント導入時の安全確認プロセスの甘さを批判した。デューク大学のNeil Gong氏は「AIの利用が広がるにつれ、攻撃者がAIそのものを攻撃する動機も強まる」と警告する。

今回の事件が特に注目される理由は、攻撃者が既知の技術的欠陥を突いたのではなく、AIエージェントが「設計どおりに動いた」ことにある。システムは正常に機能していたが、その機能自体が悪用された。これは従来のサイバー攻撃とは本質的に異なる構図だ。トランプ大統領が署名したAI安全保障大統領令のようにAI検査の枠組み整備は各国で進むが、実際の製品への反映には時間がかかるのが現状だ。

AIエージェント運用に必要な対策

専門家が推奨する対策は、必ずしも新技術を必要としない。重要な操作には従来型のセキュリティ確認を組み合わせることが基本となる。

• メールアドレス変更などの重要操作には、既存の連絡先への確認コード送信を必須化する
• デプロイ前に「レッドチーム」（攻撃者役のテストチーム）による悪用テストを実施する
• AIエージェントが実行できる操作範囲を最小限に絞り込む（最小権限の原則）
• 普段と異なる地域からの操作要求など、異常なパターンを検知する監視システムを設ける

Metaはその後、問題の修正を発表した。しかし今回の事件が示すのは、AIエージェントを本番環境に投入する際のリスク評価が業界全体で不十分であるという現実だ。「AIが指示を忠実に実行する」という強みは、確認なしに誰の指示も受け入れてしまうという弱点と表裏一体にある。便利さとセキュリティのバランスをどう設計するか、AIエージェントを開発・運用するすべての組織が直面している問いといえる。

The Meta hack shows there’s more to AI security than Mythos

Some AI cybersecurity threats are incredibly simple. They’re still dangerous.

technologyreview.com