InstagramがアカウントRecoveryの欠陥を修正、ユーザーの連絡先情報が漏洩

Instagramのウェブベースのアカウント復旧ワークフローに深刻なロジック上の欠陥が発見され、完全なメールアドレスや電話番号を含むユーザーの連絡先情報が無加工のまま露出する問題が発生しました。Metaは2026年6月6日、この問題を迅速に修正しています。

この脆弱性はプラットフォームの パスワードリセットインターフェースに影響するもので、認証されていない任意のユーザーが対象のユーザー名に対して通常の復旧リクエストを開始した場合、本来表示されるべき部分マスク形式（例：m***@domain.com）ではなく、機密性の高いアカウント識別子が平文で返されるというものでした。

この問題は一般アカウントだけでなく著名人のアカウントにも影響を及ぼし、MetaのCEOであるマーク・ザッカーバーグやジョルジーナ・ロドリゲスといった公人のアカウントに紐付く連絡先情報が露出していることを示す概念実証（PoC）のスクリーンショットが、ソーシャルメディア上で広く拡散されました。

Instagramによるアカウント復旧の欠陥修正

この欠陥を発見・再現したセキュリティ研究者によると、根本原因はブラウザへのレンダリング前に復旧データをマスク処理するフロントエンドのロジックの失敗にありました。

マスク処理が適用されることなく、復旧に関する属性情報がすべて可視化された状態でレスポンスに含まれており、パスワードリセットフローが事実上アカウント列挙の手段となっていました。@vxundergroundをはじめとする著名な脅威インテリジェンスアカウントが共有したスクリーンショットには、リセット処理中に複数の関連メールアドレスやリンクされた電話番号が開示されている様子が映っていました。

この挙動はデータ最小化の原則に明らかに違反するものです。プライバシー・バイ・デザインおよびデフォルトを義務付けるGDPR第25条をはじめとする各種コンプライアンスフレームワーク上の懸念も浮上しています。

この脆弱性は2026年6月6日に公開実証され、セキュリティコミュニティ内で急速に注目を集めました。研究者の@Scot0xoは、この問題がAPIの侵害やバックエンドの侵害ではなく、Webアプリケーション層のロジックエラーに起因することを確認しています。

Metaは数時間以内に対応し、適切なデータマスキングを復元して被害の拡大を防ぐための緊急ホットフィックスを展開しました。公式声明においてMetaは、内部システムへの侵害は一切なかったと強調し、今回の問題をデータ流出インシデントではなくパスワードリセット機能の悪用として位置づけています。

Metaは大規模なデータ侵害は発生していないと保証していますが、情報が露出していた期間は依然として具体的なリスクをもたらします。脅威アクターは収集したメールアドレスや電話番号を、フィッシングキャンペーン、クレデンシャルスタッフィング、SIMスワッピング攻撃、あるいは複数プラットフォームにまたがる広範なアイデンティティ関連付けに活用する可能性があります。

単一アカウントに紐付く複数の復旧ポイントを列挙できることは、攻撃者による偵察活動とターゲティングの精度を大幅に高めます。

今回のインシデントは、2026年にInstagramで相次いでいる一連のセキュリティ上の失態に続くものです。1月にはパスワードリセットの大規模な悪用事例が発生しており、1,750万件のユーザーレコードを含むとされるデータセットがダークウェブフォーラムで流通しているとの報告もあります。

さらに最近では、Metaが運用するAI駆動のサポートチャットボットの脆弱性が攻撃者に悪用され、プロンプトインジェクション手法によって攻撃者が制御するメールアドレスにアカウントを紐付け、著名人アカウントが乗っ取られるという事態も発生しています。

研究者らは、機密性の高いアカウントワークフローにおけるAI自動化への依存度の高まりが、特に本人確認メカニズムが十分に実施されていない場合、システム全体に影響する脆弱性をもたらす可能性があると指摘しています。

本稿執筆時点において、MetaはこのVulnerabilityにCVE識別子を割り当てていません。セキュリティチームには、特に価値の高いアカウントについてMetaの公式アドバイザリを監視し、潜在的な被害を評価することが推奨されます。認証および復旧フローにおける短期間のロジック上の欠陥であっても、攻撃者にとっての直接的な悪用可能性と参入障壁の低さから、その影響は非常に大きいものとなります。