今週初め、Fusun Onal - Ah Nerede(2004年リリース)をInstagram Storiesで共有しようとした。


Spotifyからシェア、Instagramへ。誰もが何千回もやっていることだ。

しかしアルバムカバーの代わりに、Instagramは全く関係ない人のInstagramプロフィールのスクリーンショットを開いた。私のものでもSpotifyのものでもない。本質的に他人の無料広告だ。

そしてそれはグリッチのようには見えなかった。注入されたように見えた。

不審なアプリはない。デバイスの侵害もない。唯一普通でなかったのは、Spotifyが生成する「共有画像」がすり替えられていたことだ。

これは些細な奇妙さに聞こえるかもしれないが、そうではない。信頼されたクロスプラットフォームのメディアパイプラインが脆弱である可能性を示すシグナルだ。

どうしてこれが起こり得るのか?

Spotifyが共有アセットをどのように構成し、Instagramがサードパーティメディアをどのように取り込むかに基づいて、最も現実的な経路は以下の通り。操作されたメディアエンドポイントを介した共有アセットの注入、レガシートラックのメタデータポイズニング、古いコンテンツパイプラインの悪用などが考えられる。

なぜこれがセキュリティ問題なのか(単なる面白いグリッチではない)

侵害された共有フローは攻撃者に即時のリーチ、ゼロ摩擦の配信、信頼された配置、完璧な増幅を提供する。フィッシング画像やQRコードなどにエスカレーションすれば、ソーシャルエンジニアリングの金鉱になる。

技術的内訳

Spotifyのフロー: ユーザーが共有をタップ → Spotifyがプレビューアセットを生成/取得 → 構造化されたインテント+画像をInstagramに送信 → Instagramがストーリーテンプレートにインポート。ステップ2が侵害されれば、下流のすべてが悪意のあるアセットを継承する。InstagramはSpotifyが送信するメディアを信頼しており、「この画像は本当にこのトラックを表しているのか?」という検証メカニズムがない。その信頼こそが脆弱性全体だ。

最も可能性の高い弱点: 異常または不正なメタデータと共に保存された古いカタログエントリで、Spotifyの新しいパイプラインが依然として尊重しているもの。social_share_image_url = https://attackercdn.com/injected.jpgのようなものだ。

緩和策: 厳格なソース検証、レガシーアセットの再生成、メタデータのサニタイズ、共有アセット整合性トークンなどが考えられる。

モダンなソーシャル機能は、何年も誰も監査していないレガシーメタデータの上に構築されている。そして誰かが単一のトラックのメタデータでグローバル音楽プラットフォームの共有パイプラインをハイジャックできるなら、私たちにはバグではなく攻撃対象領域がある。