AI サポートに頼むだけで、他人の Instagram アカウントが乗っ取られた

TL;DR

アカウントを乗っ取るのに、パスワードを破る必要はなかった。AI のサポート担当に「このアカウントのメールアドレスを変えて」と頼むだけでよかった。2026 年 5 月末、Meta は Instagram の AI 支援アカウント復旧システム（High Touch Support）に脆弱性があり、第三者に悪用されて 2 万件超のアカウントが乗っ取られたことを公表した。攻撃者は、要求者がそのアカウントの正当な持ち主かを AI が検証しないまま、メールアドレス変更やパスワードリセットを実行させ、二要素認証も回避した（被害規模・著名アカウント・タイムラインは後述）。問題の構造は、AI の復旧エージェントが、影響の大きい操作を、要求者の所有権・認可を独立検証する前に実行した点にある。本事案を、Pillar 03（エージェント権限証明）の観点から、エージェントの行動が認可の証明から切り離されている構造として、検出との役割分担で分析する。Brief 047（エージェントが送信者を検証せず行動）・046（要求者の認可が応答前に検証されない）・029（過剰スコープの委任）・006（資格情報の状態が独立検証されない）に連なる。

事案概要

• 対象: Instagram の High Touch Support（HTS、AI 支援のアカウント復旧システム）
• 発見: 2026-05-31、Meta が HTS の脆弱性を発見。第三者により悪用され、20,225 件の Instagram アカウントが乗っ取られた
• 欠陥の所在: HTS が、要求に用いられたメールアドレスが対象アカウントに紐づくものかを検証しなかった。攻撃者は AI サポートに依頼してアカウントの登録メールアドレスを攻撃者側のものへ変更させ、パスワードリセットリンクを取得してログインした。二要素認証（2FA）が未設定のアカウントでは、これを回避してアカウントを掌握できた
• 手口の要点: 攻撃者は技術的なエクスプロイトではなく、AI サポート対話を通じて「アカウントのメールを変えてほしい」と求めるだけで、所有権の検証なしに復旧操作が実行された。攻撃者は VPN で標的アカウントと同一の地域を装ったうえで依頼したとされる
• 著名な被害: 旧 Obama ホワイトハウスのアカウント、米 Space Force の最先任上級曹長（Chief Master Sergeant）のアカウント、転売価値の高い短いユーザー名などが標的になった
• 想定影響: 連絡先情報（メール・電話番号）、生年月日、投稿・ストーリー、ダイレクトメッセージ、アカウント活動への到達可能性
• 核心: AI の復旧エージェントが、メール変更・リセットという影響の大きい操作を、要求者がそのアカウントの正当な持ち主であるという認可を独立検証する前に実行したこと

タイムライン

• 2026-03: Meta が HTS（AI 支援のアカウント復旧システム）を導入
• 2026-05-31: Meta が HTS の脆弱性を発見。第三者による悪用とアカウント乗っ取りを確認
• 2026-06-01〜08: TechCrunch・404 Media・Help Net Security 等が報道。20,225 件・著名アカウント・2FA 回避の手口が明らかに。Meta は Maine 州司法長官室へ侵害通知を提出（6-08）
• 対応: Meta は当該 AI 支援ツールを停止し、脆弱な経路で発行されたリセットリンクを無効化。影響アカウントに追加認証を要求し、利用者へパスワード再設定を案内

注: 影響件数（20,225）と手口は Meta の説明と報道に基づく。攻撃の網羅的範囲・参照データの詳細は調査の進行に依存するため、本文では断定しない。

攻撃の経路：AI サポートが所有権を確かめずに復旧を実行するまで

本事象は、AI 復旧エージェントが要求者の所有権・認可を行動の前に独立検証しない構造に起因する。失敗がアカウント掌握へ伝播する経路は以下の通り。

1. 正規チャネルからの依頼: 攻撃者が、Instagram の AI 支援サポート（HTS）に対し、対象アカウントの登録メールアドレスの変更を求める。依頼そのものは正規のサポート要求の体裁を取る
2. 所有権検証の欠落: HTS は、要求に用いられたメールアドレスが対象アカウントに紐づくか、要求者が正当な持ち主かを独立に検証しないまま、メールアドレス変更の操作を受理する
3. 復旧操作の実行: 登録メールが攻撃者側のものへ変更され、パスワードリセットリンクが攻撃者に渡る。リセットによりログイン資格が攻撃者の手に入る
4. 2FA の回避: 二要素認証が未設定のアカウントでは、リセット経路がそのまま掌握につながり、追加の本人確認を経ずにアカウントが乗っ取られる
5. 検出と通知: Meta が異常を検知し、標的利用者へ通知する。ただしこれは復旧操作が実行されアカウントが掌握された後に作動する事後の系列である

構造的論点

本事象は Pillar 03（エージェント権限証明）の identity-auth カテゴリに属する。中心的な失敗 primitive は、AI の復旧エージェントが、影響の大きい操作（登録メールの変更・パスワードリセット）を実行する際に、要求者がそのアカウントの正当な持ち主であるという所有権・認可を、行動の前に独立検証しない点にある。secondary に agent-infrastructure（AI サポートという基盤）と ai-decision-integrity（AI が認可を欠いた依頼に応じる判断）を併記する。

サポートという「助ける」機能が攻撃面になる構造が核心である。AI の復旧エージェントは、利用者を助けるために登録情報の変更やリセットを代行する。だが「依頼が来た」ことは、その依頼者が正当な持ち主であるという証明にはならない。本件で要求メールがアカウントに紐づくか検証されなかったように、所有権の証明と復旧操作の実行が切り離されていた。アカウント復旧は、本来もっとも厳格な本人確認を要する経路でありながら、その認可が行動の前に独立検証されていなかった。

Brief 047（AI エージェントが、送信者の本人性を検証する前に高リスク行動を実行し秘密を社外送出した）の、本番・大規模・コンシューマ向けプラットフォーム版である。両者に共通する primitive は、エージェントの行動が、それを認可・検証する layer から切り離されている点にある。Brief 046（要求者の認可が応答の前に独立検証されない）・029（OAuth トークンが操作の範囲にスコープされない）・006（資格情報・属性の状態が独立検証されない）とも、認可・所有権が行動の範囲に縛られず通用する点で連なる。本事案が示すのは、AI サポートエージェントが、もっとも厳格な認可を要する復旧経路で、所有権の独立検証を欠いたことの帰結である。

検出と証明の落差

Meta による脆弱性の発見、悪用の検知、標的利用者への通知、報道による可視化は、被害把握・封じ込め・再発防止に不可欠であり、本 Brief がその役割を否定するものではない。影響アカウントの特定と利用者通知、2FA の有効化喚起は最優先の実務対応である。

一方で、検出は「この復旧依頼が、アカウントの正当な持ち主から来ているか」自体を、AI がその復旧操作を実行する時点で独立には立証しない。サポート対話は正規のチャネルを通じて進み、依頼単体ではサポート要求として正常に見える。所有権の検証が欠けていたために、依頼が来たことが操作の実行根拠になった。欠けていたのは「この要求者は、このアカウントの復旧操作を行う所有権・認可を持つか」という行動時点の独立検証であり、これは事後の異常検知や通知とは別系統である。依頼の受領が認可の証明と同一視される限り、検出は掌握の後追いにならざるを得ない。

事前証明（pre-execution attestation）は、復旧という行動の経路に、要求者の所有権・認可の証明を 1 段挟むことで、この落差を埋める。AI サポートが登録メールの変更やリセットを実行する前に、「この要求者は、このアカウントの正当な持ち主である」ことを独立検証可能な証明として要求することで、依頼の体裁や緊急性に依存せず、所有権の証明が成立しなければ復旧操作は事前に block される。依頼内容の検出（detection 的な「この依頼は妥当に見えるか」）と、所有権・認可の事前証明（「この要求者はこのアカウントを操作する認可を持つか」）は代替ではなく 補完 の関係にある。所有権・認可を行動の前に独立検証する考え方は 「Proof-as-Auth: 鍵を一度も送らずにサインインする」（Lemma、2026-05）、検出と事前証明の thesis は 「AI 時代のサイバー防衛に残された、最後の層」（Lemma、2026-05）を参照。

対応経緯と業界動向

• Meta / Instagram: HTS の脆弱性を発見・是正し、当該 AI 支援ツールを停止、脆弱な経路で発行されたリセットリンクを無効化、標的となった利用者へ通知を開始した。アカウント復旧という高リスク経路での本人確認の設計が論点となっている
• AI サポートの論点: 復旧・変更を代行する AI サポートエージェントに、どの操作にどれだけの所有権検証を課すかが、プラットフォーム横断の課題として挙がっている。「依頼の受領」と「所有権の証明」を分離し、影響の大きい操作には独立検証を前置する必要が再認識された
• 業界横断の論点: AI エージェントに代行権限を与える運用では、エージェントの行動を、その行動を認可する所有権・属性の独立検証に縛る（proof-as-auth / per-action attestation）方向へ、設計の重心を移す議論が進んでいる。利用者側の 2FA 有効化も実務上の防御だが、復旧経路自体の認可検証が根本にある

Lemma による分析

本事象で露呈した落差（AI 復旧エージェントの行動が、要求者の所有権・認可の独立検証から切り離されている）に対して、Lemma は、エージェントが影響の大きい行動を取る前に、その行動が所有権・認可に裏づけられていることを独立検証可能な暗号証明として要求する設計を提示している。

• 所有権の事前証明（proof-as-auth）: AI サポートが登録情報の変更・リセットを実行する前に、「この要求者は、このアカウントの正当な持ち主である」ことを署名付きで証明する。「依頼が来た」ことを認可の終点にしない
• 属性の選択的開示: 所有権・本人性を、生の個人情報を環境外に出さずに最小開示で証明し、復旧経路に必要十分な確証だけを与える
• スコープ付き権限: AI サポートに与える代行権限を操作ごとに最小化し、影響の大きい操作（メール変更・リセット）には所有権証明を前置する。認可の範囲を超える操作を、証明なしには成立させない
• 行動の証跡化: 復旧操作を、要求者の認可・所有権の証明に紐付けて証跡化し、事後の監査でも「誰の認可でこの操作が行われたか」を独立検証可能にする

これにより、行動の時点で固定された証明が、「この復旧操作は正当な所有者の認可を持つか」を、操作の実行前に独立検証可能なトレイルとして機能させる。検出・通知（事後の検知・利用者通知）は被害の把握・是正に、事前証明（行動前の所有権・認可検証）は復旧操作の独立検証に、それぞれ相補的に働く。設計と適用範囲は、Pillar 03 — エージェント権限証明 および Trust402 を参照のこと。

Sources

• TechCrunch: “Hackers hijacked Instagram accounts by tricking Meta AI support chatbot into granting access”（2026-06-01、HTS の悪用・手口・著名被害） — https://techcrunch.com/2026/06/01/hackers-hijacked-instagram-accounts-by-tricking-meta-ai-support-chatbot-into-granting-access/
• 404 Media: “Hackers Simply Asked Meta AI to Give Them Access to High-Profile Instagram Accounts. It Worked”（手口の核心） — https://www.404media.co/hackers-simply-asked-meta-ai-to-give-them-access-to-high-profile-instagram-accounts-it-worked/
• Help Net Security: “Hackers used Meta’s AI support system to hijack over 20,000 Instagram accounts”（2026-06-08、件数・メール未検証・2FA 回避） — https://www.helpnetsecurity.com/2026/06/08/instagram-ai-support-vulnerability-account-takeovers/

Brief 配布について

Lemma Critical Brief は Lemma が発行する脅威インテリジェンス・ブリーフです。本資料は公開情報の構造化分析であり、特定の組織への監査・診断・推奨ではありません。意思決定の参考として用いる場合は、貴組織の Lemma Critical 担当に直接ご相談ください。

Discovery Call → ホワイトペーパー → ✉️ ニュースレター →

(c) 2026 FRAME00, INC. — Built for decisions that matter.