大規模なデータ侵害により、約1,750万人のInstagramユーザーの個人情報が漏えいし、機微な詳細が現在ダークウェブのフォーラムで出回っています。
この漏えいは、Malwarebytesのサイバーセキュリティ研究者によって最初に指摘され、ダークウェブ上のリスティングを通じて検証されました。数百万人をなりすまし被害や標的型フィッシング攻撃にさらす、膨大な連絡先情報の宝庫が露出しています。
流出したデータセットは今週初め、悪名高いハッキングフォーラムに登場し、「Solonik」という別名で活動する脅威アクターによって投稿されました。「INSTAGRAM.COM 17M GLOBAL USERS — 2024 API LEAK」と題されたこの掲載は、JSONおよびTXTファイル形式で1,750万件のレコードを含むと主張しています。
フォーラム投稿によると、このデータは2024年後半に「API Leak」を通じて収集され、標準的なセキュリティ対策を回避して世界中のユーザープロフィールをスクレイピングしたとされています。
データサンプルのスクリーンショットにより、これらの項目の有効性が確認されており、サイバー犯罪者が標的の包括的なプロフィールを構築できる、個人情報の構造化された一覧が示されています。
この侵害はすでに受動的な脅威から能動的な悪用へと移行しています。データ公開後、多くのInstagramユーザーが、身に覚えのないパスワードリセット通知が急増したと報告しています。
漏えいにパスワード自体は含まれていないようですが、メールアドレスと電話番号の組み合わせだけでも、「SIMスワップ」攻撃や高度なソーシャルエンジニアリングには十分です。
Instagramサポートを装ったり、流出した個人情報を用いて信頼関係を築いたりすることで、詐欺師は被害者をだまして二要素認証(2FA)コードやログイン認証情報を渡させることができます。
この事案は、Instagramの中核サーバーへの直接侵入ではなく、「スクレイピング」—公開インターフェースを介したデータの自動収集—として分類されています。しかし、「API Leak」の規模は、レート制限やプライバシー保護策の不備を示唆しており、アクターが検知されることなく数百万のアカウントを照会できたことになります。
2026年1月10日現在、Metaはこの1,750万件のレコード流出に関して正式な声明を発表していません。サイバーセキュリティの専門家は、すべてのInstagramユーザーに対し、SMSではなく認証アプリを用いた多要素認証(MFA)を直ちに有効化し、促していないパスワードリセットメールは無視するよう強く勧告しています。
翻訳元: https://cyberpress.org/instagram-data-leak/