2026年6月1日付で、Instagram 上で Meta の AI を活用したアカウント復旧機能に脆弱性があったと、Cyber Security News が報じ、複数のセキュリティ系サイトが同内容を伝えた。
報道によれば、攻撃者は Meta AI のチャットボットを会話で操作し、本人確認を回避してパスワードリセットコードを権限のない第三者に転送させ、標的のユーザー名を知るだけでアカウントを乗っ取ることができたとされる。
これはセキュリティ研究者の ZachXBT と Dark Web Informer が公表したと伝えられている。標的になったとされるのは @hey や @jowo など短いハンドルのアカウントで、合計100万ドルを超える価値があるとされるものもあり、Telegram の非公開チャンネルで転売されたと報じられた。Cyber Security News は Meta が金曜日に修正したと報じているが、記事が引用する「システム侵害はなく安全」との声明は2026年1月の別件と文言が一致しており、本件への公式応答かは確認が必要だ。
二要素認証で保護されたアカウントは侵害されなかったと報じられた一方、2FA回避とする派生記事もあり、この点は確定していない。
From: 
Instagram Meta AI Vulnerability Allegedly Enables Password Reset for Accounts
【編集部解説】
まず大前提を共有させてください。今回の事案の中核——Meta AI を介してアカウントが乗っ取られたという話——は、現時点では Cyber Security News の報道とその同内容を伝える派生記事が主な情報源です。Meta の公式発表や CVE といった一次情報では、まだ裏付けが取れていません。そのうえで、報道が正しいと仮定して読み解いていきます。
報じられている構図で興味深いのは、これが「サーバーが破られた」種類の事件ではないとされる点です。Meta のシステム内部に侵入者が入り込んだのではなく、狙われたのはアカウント復旧を手伝う AI アシスタントそのものの「判断」だった、というのです。
セキュリティの世界では、これを「混乱した代理人(confused deputy)」と呼ばれる古典的な問題になぞらえる声が上がっています。高い権限を持つ信頼されたシステムが、本来は権限のない相手のために動かされてしまう——人間の窓口担当者を口八丁で言いくるめる手口が、そのまま AI 相手に通用してしまった、と言い換えると分かりやすいかもしれません。
ここが、私がこのニュースを今あえて取り上げたい理由です。報道によれば、Meta は AI のサポート担当に利用者のアカウントを操作する権限を与えており、しかも本人確認を挟まないまま動いてしまったとされます。仮に事実なら、問題はコードの穴ではなく、「AI にどこまでの権限を、どんな歯止めとともに渡すか」という設計思想の側にあったことになります。
便利さと危うさは、しばしば同じ一枚のコインの裏表です。AI が復旧手続きを肩代わりしてくれれば、パスワードを忘れた人は助かります。けれど同じ仕組みは、標的のユーザー名を知るだけで第三者が乗っ取りを始められる入口にもなり得ます。狙われたとされるのは @hey や @jowo のような短いハンドルの希少なアカウントで、合計100万ドルを超える価値があるとされ、非公開の Telegram チャンネルで転売されたと報じられています。
報道では、被害は2FA(二要素認証)を設定していなかったアカウントに集中したとされています。もしそうであれば、二要素認証が生きていた利用者は今回の攻撃をしのげたことになります。ただし派生記事の中には「2FA が回避された」とする食い違う記述もあり、この点はまだ確定していません。それでも、入口の鍵を一つ増やしておく備えの大切さ自体は揺らがないはずです。
影響の射程は Instagram の枠にとどまりません。AI エージェントが実際の業務システム——パスワードのリセット、設定変更、本人情報の書き換え——につながり始めると、これまで人間の判断や厳格な認証が担っていた「最後の砦」が、対話で揺さぶれる柔らかい層に置き換わります。攻撃対象は「コードの脆弱性」から「AI の論理と会話」へと移っていくかもしれません。
長い目で見れば、これは規制やガバナンスの議論にも火をつけるでしょう。AI に与える権限は最小限にとどめ、機微な操作の前には人間と同等以上の本人確認を必ず挟む——そうした原則を、サービス各社が「あって当然のもの」として組み込めるか。エージェント型 AI が社会に溶け込むほど、その問いの重みは増していきます。
なお、本件をめぐっては、Meta の公式声明として「システム侵害はなく、リセットメールは無視してよい」という文言が引用されています。ただしこの文言は、2026年1月に起きた別のパスワードリセットメール騒動への声明と一致して見えます。AI脆弱性そのものへの応答かどうかは、現時点では慎重に見極めたいところです。
未来の窓口は、人ではなく AI になるかもしれません。だからこそ、その窓口が「誰の依頼で動いているのか」を見極める力を、私たちは技術にもっと丁寧に持たせていく必要がありそうです。
【用語解説】
二要素認証(2FA)
パスワードに加えて、もう一つ別の要素(アプリが生成するコードやSMSなど)で本人確認を行う仕組み。多要素認証(MFA)の代表例であり、パスワードが漏れても単独ではログインを許さない「二つ目の鍵」として機能する。
混乱した代理人(confused deputy)
高い権限を持つ信頼されたプログラムが、本来は権限のない第三者にだまされ、その第三者の代わりに権限を行使してしまう古典的な脆弱性パターン。MITRE の CWE-441 にも整理されている。今回はAIアシスタントがこの「代理人」役にあたるとされる。
AIエージェント(エージェント型AI)
指示に応じて文章を返すだけでなく、外部のシステムを実際に操作し、手続きを自律的に進めるAI。パスワードのリセットや設定変更といった現実の権限と結びつくと、その判断そのものが攻撃の標的になり得る。
アタックサーフェス(攻撃面)
攻撃者が侵入や悪用を試みられる入口の総称。AIエージェントが業務システムに接続されると、従来の「コードの穴」に加えて「AIの対話・論理」が新たな攻撃面として加わる。
ZachXBT
主にブロックチェーン上の不正資金を追跡することで知られる、匿名のセキュリティ研究者・調査者のハンドル名。今回の脆弱性を早期に公表した一人とされる。
Dark Web Informer
ダークウェブや闇市場での不正な取引・流出情報を監視・共有することで知られるアカウント。今回は盗まれたアカウントがTelegram上で売買される様子を追跡したと報じられた。
【参考リンク】
Meta(公式サイト)(外部)
InstagramやFacebookを運営するMetaの公式サイト。事業方針やプレスリリース、各プロダクトの最新情報を確認できる。
Instagram(公式サイト)(外部)
今回の事案の舞台となった写真・動画共有サービスの公式サイト。アカウント作成やセキュリティ設定の入口となる。
Meta|FacebookとInstagramのアカウントサポート強化に関する公式発表(外部)
Meta AI support assistantをFacebookとInstagramのアカウント支援に導入し、パスワードリセットや設定変更などの支援機能を拡大していることを説明する公式発表。
Telegram(公式サイト)(外部)
世界で広く使われるメッセージングアプリの公式サイト。盗まれたアカウントの売買に非公開チャンネルが使われたと報じられた。
【参考記事】
Cyberpress|Instagram Meta AIの脆弱性、パスワードリセットを許すと報道(外部)
Meta AIが本人確認なしでリセットコードを転送させられたと報道。@heyや@jowoなど高額アカウントが標的になったと伝える。
SQ Magazine|Metaがアカウント乗っ取りに使われたInstagram AIの欠陥を修正と報道(外部)
本件を「混乱した代理人」型と分析。AIが本番システムに繋がると新たな攻撃面になり得ると論じる。
Cyber Security News|Instagramのデータ流出、1750万件の個人情報が露出と報道(外部)
2026年1月の別事案を報道。利用者が相次ぎリセット通知を受け取り、Metaがメールは無視してよいと案内した経緯を伝える。
The Register|Metaがパスワードリセット騒動を認め流出を否定と報道(外部)
2026年1月、Metaが外部者によるリセットメール要求の問題を認めつつ、システム侵害は否定した経緯を報じる記事。
TechRadar|Instagramのパスワード再設定要求、Metaがデータ侵害報道を否定(外部)
2026年1月、利用者にリセット要求メールが殺到するなか、Metaがシステム侵害を否定した経緯を報じる記事。
Cryptika|Instagram Meta AIの脆弱性がパスワードリセットを許したと報道(外部)
原報道とほぼ同内容。AIが復旧処理の制御を欠き、ユーザー名を知るだけで乗っ取りを開始できたと伝える。
【関連記事】
Microsoft AzureやMistral AIも標的に、音声AIを乗っ取る新攻撃「AudioHijack」をIEEEで研究者らが実証
本件と同じ「混乱した代理人(confused deputy)」の構図でAIが操られる事例。今回の脆弱性の本質を理解する補助線になる。
ChatGPTの新脆弱性「ChatGPhish」、Web要約がフィッシングの舞台に—Permisoが警告
AIアシスタントの処理過程が攻撃面になる直近事例。AI=新たなアタックサーフェスという論点を共有する。
AIブラウザエージェントが新たなインサイダー脅威に、96%の企業が導入意向も準備不足
AIが人の代理で動く時代の構造的リスクを整理。権限を与えたAIの危うさという視点が重なる。
Instagram乗っ取り急増!詐欺の手口と復旧不可能になる前の対策
同じInstagramのアカウント乗っ取りを扱う実践的記事。読者の「自分の備え」に直接つながる。
Googleアカウント乗っ取り新手法、ロシア国家支援グループがMFA突破に成功
ソーシャルエンジニアリングで多要素認証を回避された事例。本件の「人を欺く手口」と通底する。
【編集部後記】
私自身、AIに「窓口」を任せる時代の入口に立っていると感じています。便利さの裏で、その窓口が誰の言葉を信じるのかは、まだ手探りの段階なのかもしれません。
みなさんは、AIアシスタントにどこまでの権限を預けたいと思いますか。パスワードの再発行や設定変更まで任せられたら楽な反面、少し不安もよぎります。よければ、ご自身のアカウントの2FA設定を一度のぞいてみませんか。その小さな確認が、未来の便利さと安心して付き合う第一歩になるはずです。
