今すぐ確認すべき結論:Meta AIを悪用したInstagramアカウント乗っ取りの抜け穴は、Metaが対応を講じた後も残存していると報じられています。Android Authorityの報道によれば、Metaの「修正」はバックエンドのセキュリティ確保には至っておらず、2要素認証(2FA)を有効にしているユーザーも油断できない状況だとされています。なお、本記事はAndroid Authorityによる報道(2026年6月3日付)を根拠としており、Metaおよび第三者による正式な技術的検証が行われるまで、状況は変化する可能性があります。
Meta AIを悪用したInstagramアカウント乗っ取りとは
Android Authorityは、Meta AIを悪用してInstagramアカウントを乗っ取る手口について報じています。同記事のタイトルは「Instagram accounts continue to be hacked as hackers claim Meta only removed a UI button」(攻撃者の主張によれば、MetaはUIボタンを削除したに過ぎず、Instagramアカウントの乗っ取り被害が継続している)というもので、抜け穴の悪用が続いているとの指摘が紹介されています。
報道によれば、攻撃者の主張として「Metaが行った対応はUI上のボタンを取り除いただけであり、バックエンド側の脆弱性は依然として残っている」とされています。Android Authorityは、Metaの修正がバックエンドのセキュリティ確保に失敗していると伝えています。
なぜ「修正済み」なのに被害が続くのか
通常、サービス側が「脆弱性は修正済み」とアナウンスすれば、ユーザーは安心して利用を続けられるはずです。しかし今回のケースでは、Android Authorityの報道によれば、Metaの対応が表層的なUI変更にとどまっており、攻撃の入り口となる根本的な経路は塞がれていないと指摘されています。
その結果として、Meta AIを介したアカウント乗っ取りの抜け穴は依然として悪用可能な状態にあると伝えられています。読者にとって重要なのは、サービス側のアナウンスのみに依存せず、自衛策を継続する必要があるという点が、報道内容から読み取れることです。
| 項目 | 報道で示されている内容 |
|---|---|
| 抜け穴の所在 | Meta AIに関連する経路を介したInstagramアカウントの乗っ取り |
| Metaの対応 | UIボタンの削除(攻撃者側の主張) |
| 残存リスク | バックエンドのセキュリティ確保に失敗したと報じられている |
| 影響範囲 | Instagramアカウントの乗っ取り被害が継続しているとされる |
なお、上記の「攻撃者側の主張」「バックエンド未対応」といった内容は、Android Authorityによる報道で紹介されている指摘であり、Meta自身の公式見解とは区別して捉える必要があります。
2FAを有効にしていても安心できない可能性
Android Authorityの見出しおよび説明文は、Instagramアカウントの乗っ取りが「継続している(continue to be hacked)」と明確に表現しています。報道で示されている内容を踏まえると、アカウント保護の基本である2要素認証を有効にしていても、抜け穴の悪用が続いているとされる状況下では、被害を完全に防げないケースがある点に留意が必要だと読み取れます。
報道で示されている内容を踏まえると、利用者側で取り得る現実的な自衛策を継続することが推奨されます。
- Instagramに登録しているメールアドレスのパスワードを、強固かつ他サービスと重複しないものに今すぐ見直す
- メールアドレスの変更通知やログイン通知が届いた場合に即時対応できるよう、通知設定を見直す
- 不審な挙動を検知した場合は、Instagramのアカウント復旧フローを早期に試みる
- Meta公式からの追加アナウンスや、信頼できるメディアによる続報を継続的に確認する
情報の限界と注意点
本件は進行中の事案であり、報道で扱われている情報には以下の限界があります。
- 攻撃者側の主張(「UIボタンを削除しただけ」など)は、Android Authorityが報道として紹介しているものであり、独立した技術的検証によって裏付けられたものとは限りません
- Metaの対応内容の詳細や、影響を受けたアカウント数などの定量的な情報は、公開情報の範囲では明らかにされていない部分があります
- 今後Metaが追加の修正を実施したり、第三者による検証が進んだりすることで、状況は変化する可能性があります
まとめ——今すぐやるべきこと
Android Authorityの報道によれば、Meta AIを悪用したInstagramアカウント乗っ取りの抜け穴は、Metaの対応後も継続して悪用されているとされ、修正はバックエンドのセキュリティ確保に至っていないと指摘されています。報道で示されている内容を踏まえると、2FAを有効にしている利用者であっても、登録メールアドレス側の防御を強化し、通知設定を見直すなど、自衛策を継続することが望ましいと読み取れます。今すぐInstagramに紐づくメールアドレスのパスワードを見直し、強度を確認しておくことが推奨されます。
被害を受けた具体的アカウントと「OGハンドル」転売市場
報道では、奪取された具体的アカウントとして、休眠状態だった@obamawhitehouseハンドル、米宇宙軍(Space Force)のChief Master Sergeant公式ページ、化粧品大手Sephora、研究者Jane Manchun Wong氏のアカウント、開発者Albert Renshaw氏が保有していた@albertなどが挙げられています。短い英単語や数文字で構成される「OGハンドル」と呼ばれる希少なユーザー名は、グレーマーケットで6桁ドル規模の金額で取引されることがあり、転売目的で組織的に狙われたと伝えられています。
- 確認されている被害: @obamawhitehouse、Sephora、米宇宙軍幹部ページ、Jane Manchun Wong氏、@albert
- 一連の乗っ取りは2026年5月29日(金)に集中発生
- Metaは同日夕方に緊急ホットフィックスを投入し、メール紐付け権限を持つAIフローを停止
- 親イラン系のハッカー集団が関与し、奪取された希少ハンドル群の合計転売価値は50万ドル超とされています
認可の失敗——AIエージェント設計に残る構造的課題
セキュリティ企業Check Pointは、今回の事案を「prompt injectionの問題ではなく、authorization failure(認可の失敗)」と総括しています。サポートチャットボットがメールアドレス変更やパスワードリセットといった高権限の操作を、独立した本人確認を経ずに実行できる設計そのものが、根本的な問題として指摘されています。
提言される「段階的権限付与」アプローチ
専門家からは、AIエージェントの権限を一気に広げず層状に拡張する「staged authority」アプローチの採用、AIのプロンプトとは独立した承認ゲートやキルスイッチの実装、アカウント復旧のような機微なワークフローへの自動化制限などが提言されています。アカウント復旧の判断権限をAIに委ねる潮流自体が、構造的リスクを生んでいるとの見方が広がっています。
Q&A
Q. 2要素認証(2FA)を有効にしていれば安全ですか? Android Authorityの報道によれば、抜け穴の悪用が継続しているとされており、2FAのみに依存する対策には限界がある可能性が報道内容から読み取れます。登録メールアドレス側のパスワード強化など、複層的な対策を継続することが推奨されます。
Q. Metaの修正は完了したのですか? Android Authorityは、Metaの修正がバックエンドのセキュリティ確保に失敗していると伝えています。攻撃者側はUIボタンが削除されたに過ぎないと主張しているとされ、正式かつ十分な修正が完了したかは現時点では明らかにされていません。
Q. 自分のアカウントが乗っ取られた可能性を確認する方法は? 登録メールアドレス宛に届く「メールアドレス変更通知」「パスワード変更通知」「新規ログイン通知」を確認することが基本です。心当たりのない通知が届いた場合や、Instagramにログインできなくなった場合は、Instagramの公式アカウント復旧フローを直ちに開始してください。
出典
- Android Authority — Instagram accounts continue to be hacked as hackers claim Meta only removed a UI button
- 404 Media — Hackers Simply Asked Meta AI to Give Them Access to High-Profile Instagram Accounts. It Worked
- Check Point Blog — The Meta AI Account Recovery Incident Wasn't Just a Chatbot Problem
