Meta AIサポートがInstagram乗っ取りに悪用——VPNだけで本人確認・2要素認証を突破、Sephoraや@albertも被害

MetaがInstagram向けに提供しているAIサポートアシスタントが、攻撃者によるアカウント乗っ取りに悪用されていたとMacRumorsが報じました。週末にかけて2要素認証(2FA)を一部すり抜けた事例まで確認され、Sephoraや@albertなど著名アカウントが次々に奪われたと伝えられています。本人確認が不十分なまま登録メールアドレスを変更できてしまう仕様で、Metaは週末に問題を修正したと表明しています。

なお本記事は、報道時点で公開されている情報に基づくものです。詳細な被害規模・対応状況は今後の続報で更新される可能性があります。

VPN接続だけで本人確認を突破、メールアドレスが書き換えられる

問題となったMeta AIサポートアシスタントは、24時間体制のカスタマーサポートを目的に12月に導入されたもので、詐欺の報告・コンテンツ削除依頼・パスワードリセットなどに利用できる設計です。攻撃に使われたのはこのうちパスワードリセット系の動線でした。

ソーシャルメディア上では週末にかけて、攻撃の手順を実演する投稿が出回りました。

• 攻撃者がMeta AIに対し、標的のInstagramアカウントに紐付くメールアドレスの変更を依頼する
• AI側は質問やしっかりした本人確認を挟まずに変更を実行する
• 変更したメールでパスワードリセットを行い、アカウントを奪取する

確認に必要だったのは、標的アカウントの普段の利用場所付近に設定したVPN接続のみで、これは現実的にはほぼ無条件で再現できる要件です。Metaが位置情報をもとに「いつもの端末・いつもの場所」と見なすロジックを採用していたことが、結果として悪用の入口になりました。Metaは公式ブログで「弊社のシステムは、ユーザーが普段使う端末や慣れ親しんだ場所を以前にも増して的確に認識します」と説明していました。

セルフィー認証もAIで突破、2要素認証も一部で無効化

一部のケースでは追加の本人確認としてセルフィー(自撮り画像)の提出が求められましたが、これもAIを用いて突破されたとMacRumorsは伝えています。さらに、2要素認証が設定されているアカウントでも、AI経由のメール変更フローではバイパスされた事例があったことが確認されたと報じられています。

被害は実在の著名アカウントにまで及びました。MacRumorsによると、確認されている乗っ取り対象には以下のような名前が挙がっています。

企業ブランド・軍高官・研究者・レアIDの個人・歴史的アーカイブまで無差別に奪取対象となっており、特定の属性に偏らず「奪える価値があれば全て狙われた」事態の重さがうかがえます。このほかにも、希少な英数字ハンドル(いわゆるレアIDアカウント)を持つユーザーが多数被害を訴えています。Telegram上にはInstagramアカウントを売買する闇市場のチャンネルがあり、あるセキュリティリサーチャーは、これらのチャンネルがMetaのAIを利用して「かなり儲けた」と述べたとMacRumorsは伝えています。

ハッカー側では3月から脆弱性が把握されていたと404 Mediaが報道

エクスプロイトの存在自体は、ハッカー側のコミュニティでは3月の時点で既に把握されていたと404 Mediaが報じています。Meta側がいつ把握し、修正までにどれだけ要したかについては、現時点では明らかにされていません。短期間ではあるものの一般にも手口が広まり、その間にアカウント乗っ取りが急増した格好です。

修正対応については、MetaのコミュニケーションズVPであるAndy Stone氏が報道当日に「問題は修正された」と表明したとMacRumorsは伝えています。Metaは現在「影響を受けたアカウントの保護を進めている」段階だとされています。

ただし読者目線で気になる点も残ります。週末に被害に遭ったユーザーの一部は、自分のアカウントを取り戻すためにこのMeta AIを使おうとしたものの解決に至らず、しかも人間のサポート担当者に切り替えるオプションが用意されていなかったと伝えられています。「24時間対応のAIサポート」という設計思想自体が、緊急時にエスカレーション先を失わせる方向に作用したと読むこともできます。

読者として押さえておきたいポイント（本記事独自の補足）

以下は報じられた事実を踏まえた本記事独自の整理であり、ソース記事に明示された推奨事項ではありません。一般的なアカウント保護の観点としてご参照ください。

• 2要素認証は今回一部バイパス事例が報じられたものの、一般的な不正アクセスへの抑止力としては引き続き有効と考えられます
• ログイン通知や登録情報の変更通知をオンにしておくと、不審な操作にいち早く気付きやすくなります
• 登録メールアドレスやログイン履歴を定期的に確認し、身に覚えのない変更がないかをチェックしておくのが妥当です

プロンプトインジェクション——AI業界が2026年最大級の脅威と位置付ける攻撃手法

今回のMeta AIサポートの不備は、AI業界全体で警戒が強まる「プロンプトインジェクション」の典型例として位置付けられています。OWASPは2025年版LLMリスクランキングで同攻撃を最上位「LLM01」に置き、2026年3月には再保険大手Munich Reも年次サイバーリスクレポートでこれを「主要な攻撃ベクター」と明記したと伝えられています。低コストかつスケールしやすい点が共通の懸念事項とされています。

サードパーティ製プラグインで増幅される実態

IEEE Symposium on Security and Privacy 2026に採択された研究では、1万以上の公開サイトで利用される17種類のサードパーティ製AIチャットボットプラグインを調査し、うち8種（約8,000サイト分）が会話履歴の完全性を検証していないことが判明したと報告されています。この欠陥により直接プロンプトインジェクションの影響が3〜8倍に増幅されると指摘されており、セキュリティ監査済みAIシステムの73%が同種の脆弱性に晒されていたとの調査結果も示されています。

レアIDの闇市場相場——攻撃者の経済的動機を裏付ける価格水準

被害が短時間で広範に及んだ背景には、ショートハンドル（レアID）の闇市場価格が大幅に高騰している事情があるとされています。業界メディアが整理する現在の取引相場は以下の水準で推移していると伝えられています。

5文字の「@hey」は最低でも5桁ドル、競売次第では6桁ドルに届くとされ、「@hey」「@jowo」の2件のみで合計100万ドル超のグレー市場評価が付いていると報じられています。流通ルートとしてはhandles.gg、PlayerUp、OGUser.comといったマーケットプレイスが存在し、リサーチャーのZachXBT氏やDark Web Informerが今回の流出経路を公的に追跡しているとされています。

Q&A

Q. 今もこの方法でInstagramアカウントは乗っ取られるのですか? Andy Stone氏は問題は修正済みだと表明したとMacRumorsは伝えています。少なくとも今回報じられたMeta AIサポート経由の同じフローについては、現時点では塞がれた状態だと伝えられています。

Q. 自分のアカウントが被害に遭ったかどうか、どう確認すればよいですか? 登録メールアドレス・電話番号・ログインアクティビティに身に覚えのない変更があれば被害の可能性があります。Metaは現在「影響を受けたアカウントの保護を進めている」段階だとしており、不審な点があればInstagram内のセキュリティ設定からログイン履歴を確認するのが第一歩です(なお具体的な確認手順はソース記事には記載されていないため、詳細はMeta公式の案内を参照してください)。

Q. なぜVPNだけで本人確認が通ってしまったのですか? Metaが「いつもの場所からのアクセスかどうか」を本人確認の重要なシグナルとして使っていたためです。VPNで標的アカウントの常用地域付近にIPを合わせるだけで「見慣れた場所」と判定されてしまい、AI側がメール変更などの操作を許可する状態になっていたと報じられています。

Sephoraクラスの企業アカウントまで奪われた事実は、24時間AIサポートを置く全プラットフォームへの警鐘とも読めます。「影響を受けたアカウント」の範囲がどこまで広がるのか、Meta側の続報を引き続き注視したいところです。

出典

• MacRumors — Meta AI Support Bot Helped Hackers Hijack Instagram Accounts
• Securance — Prompt injection: the OWASP #1 AI threat in 2026
• freshengagements — The World of Rare and Collectible Instagram Usernames