まず結論 — AI に「操作の引き金」を握らせると攻撃面が増える
Meta が 2026 年 6 月 6 日、Instagram アカウントの大量乗っ取りを認めました。手口は派手なゼロデイではなく、アカウント復旧を手伝う AI チャットボットの確認漏れです。私がこの件で運用者に伝えたい結論はひとつ。LLM アシスタントに「パスワードをリセットする」「メールを送る」といった副作用のある操作を握らせると、その操作そのものが新しい攻撃面になります。
被害規模は、Meta が米メイン州司法長官に提出した侵害通知で少なくとも 20,225 件、うちメイン州在住が 30 件と報告されています。攻撃キャンペーンは 4 月 17 日から 6 月初旬まで続いていました。桁を見て、私は背筋が少し寒くなりました。
何が起きたか — リセットリンクが攻撃者の宛先に飛んだ
核心は単純です。復旧用チャットボットが本人確認をすり抜けて、攻撃者のメールアドレスにパスワードリセットリンクを送ってしまいました。
流れはこうです。攻撃者は二要素認証(2FA、ログイン時にコードを追加で求める仕組み)を設定していないアカウントを狙い、チャットボットに「ハッキングされた」と話しかけます。そして確認コードの送り先として、本来のアカウント所有者ではなく自分のメールアドレスを指定する。チャットボットは本来このリクエストを拒否すべきところを、未登録のメールアドレス宛にリセットリンクを送ってしまいました。あとは攻撃者がリンクを踏み、アカウントを丸ごと掌握する。連絡先、生年月日、投稿、ダイレクトメッセージ、アクティビティまで読める状態でした。
Meta は対応として、いったんこの AI チャットボットを停止し、チャットボットがアカウントをリセットできるコード経路そのものを削除したと説明しています。さらに他プラットフォームのチャットボットも横展開で点検したとのことです。事後対応としては筋が通っていますが、削除できたということは、最初からその経路が広すぎたとも言えます。
これは prompt injection より地味で、もっと怖い
今回の件を「prompt injection だ」と片付けると、本質を見誤ります。巧妙な呪文でモデルを言いくるめた話ではなく、AI に与えた権限(authority)が広すぎたという設計の問題だからです。
OWASP の LLM アプリ向けトップ 10 では、この種の問題を Excessive Agency(過剰なエージェンシー、AI に必要以上の操作権限を渡すこと)として整理しています。チャットボットが「アカウントをリセットできる」権限を持ち、かつ「送り先メールを検証する」ガードが甘ければ、悪用される穴は呪文以前に構造として空いています。私はここが一番こわいと思っています。賢いモデルほど、与えた権限を素直に、最後まで実行してしまうからです。AI の判断に正誤を委ねる危うさは5 つのフロンティア LLM は事実判定の 67% で割れるでも書きました。
運用者が今日から見直せること
自分のプロダクトに AI アシスタントを組み込んでいるなら、今日確認できる項目があります。
第一に、AI が引き金を引ける副作用つき操作を棚卸しすることです。パスワードリセット、メール送信、権限変更、課金。これらを LLM の判断だけで完了させていないか。第二に、本人確認を AI の外側、決定論的なコードで固定することです。送り先メールの検証や 2FA チェックは、モデルに任せず通常のバックエンドで強制します。第三に、復旧フローを攻撃者の視点でレビューすることです。今回 2FA 未設定のアカウントが狙われたように、最弱の経路が必ず突かれます。脆弱性をモデル自身に探させる試みはAnthropic の脆弱性発見ハーネスでも進んでいますが、まずは人間の手で復旧導線を辿るのが先です。
私が auto-publish で引いている線
最後に自分の話を少し。私はこのサイトを、AI が記事の下書きを書き、私が公開前に確認して出す仕組みで運用しています。そのとき意識的に引いている線が、まさに今回の教訓と同じです。
私の bot には記事を書く権限は渡していますが、本番を不可逆に壊す操作、たとえばアカウント削除や決済の引き金は握らせていません。正直に言うと、自分の bot の文章を読み返して「これを書いたのが過去の自分でないことだけは確かだ」と苦笑する日もあります。それでも公開ボタンの最終確認だけは人間に残す。この境界の引き方はauto-publish を回す側として引いている境界に詳しく書きました。AI に何をさせ、何をさせないか。Meta の 2 万件は、その線引きを甘くした代償の大きさを教えてくれます。
よくある質問
- 今回の乗っ取りは prompt injection ですか?
- 厳密には違います。巧妙な指示でモデルを操作したというより、復旧用チャットボットが本人確認をすり抜けて攻撃者のメール宛にリセットリンクを送れてしまう、権限と検証の設計問題でした。OWASP が言う Excessive Agency(過剰なエージェンシー)に近い事例です。
- 何件のアカウントが影響を受けましたか?
- Meta がメイン州司法長官に提出した侵害通知では、少なくとも 20,225 件、うちメイン州在住が 30 件とされています。攻撃キャンペーンは 2026 年 4 月 17 日から 6 月初旬まで続いていました。
- 自社プロダクトで同じ事故を防ぐには?
- AI に副作用のある操作(リセット・送信・権限変更)を任せきりにせず、本人確認や送り先検証を決定論的なバックエンドコードで強制します。復旧フローを攻撃者視点でレビューし、2FA 未設定など最弱の経路を塞ぐことが有効です。