衝撃的なサイバーセキュリティ事件が明らかになりました。ダークウェブのマーケットプレイスで宣伝されたデータ侵害により、1,750万人のInstagramユーザーの個人情報が流出したとされています。
サイバーセキュリティ企業Malwarebytesは、X(旧Twitter)を通じて最初に一般へ警告を発し、ユーザー名、メールアドレス、電話番号、位置情報の一部を含む盗難データが販売目的で出回っているとして、漏えいの深刻さを確認しました。
影響を受けたユーザーからは、本物のInstagramパスワードリセット通知を受け取ったとの報告があり、実際に悪用が試みられていることを示しています。
この会話で共有されたダークウェブの掲載情報のスクリーンショットによると、データセットのタイトルは「Instagram.com 10億ユーザー – 2024年リーク」となっていますが、実際には2024年後半に世界中からスクレイピングされた1,750万件のレコードが含まれているとされています。
販売者「Subkek」は、公開APIと国別の情報源を用い、直近3か月で新たに収集したデータだと主張しており、ユーザー名、完全なメールアドレス、電話番号、住所の一部が含まれるとしています。
画像に表示されたサンプルレコードは、詳細の真正性を裏付けており、「Usernames, Emails, Phones」といったフィールドが明示され、2024年11月のタイムスタンプも併記されています。
このスクレイピング手法は従来型のハッキングを回避し、Instagramの公開プロフィールやAPIを悪用して、システムへ直接侵入することなく連絡先データを収集します。世界規模であることがリスクを高めており、サイバー犯罪者が地域ごとに最適化したフィッシングやなりすまし(ID窃取)を仕掛けられる可能性があります。
流出データの詳細
侵害された情報は、1,750万アカウントそれぞれについて危険なプロファイルを形成します。
| 項目 | 提供される詳細 | リスクレベル |
|---|---|---|
| ユーザー名 | 固有のInstagramハンドル | 高 instagram-breach1.jpg |
| メール | 完全なメールアドレス | 重大 instagram-breach2.jpg |
| 電話番号 | 直接連絡可能な番号 | 重大 |
| 位置情報 | 住所の一部/国 | 高 instagram-breach1.jpg |
この組み合わせにより、SIMスワップやクレデンシャルスタッフィング(漏えいした認証情報の使い回し攻撃)などの高度な攻撃が可能になり、流出したメールや電話番号がアカウント乗っ取りを助長します。
BreachForumsのようなプラットフォームでの販売にとどまらず、この漏えいは差し迫った脅威を引き起こしています。Malwarebytesは、ユーザーにパスワードリセットメールが届いていることを指摘しており、脆弱なセキュリティ慣行の隙を突いて支配権を奪うための手口だとしています。パスワード自体が盗まれたことを示す証拠はありませんが、過去の侵害と組み合わさることで、このデータは脆弱性を増幅させます。
2026年1月10日時点で、Meta(Instagramの親会社)から公式声明は出ておらず、ユーザーは不透明な状況に置かれています。サイバーセキュリティの専門家は、侵入を伴わない性質のためにスクレイピングが検知を回避した可能性があると推測しており、APIセキュリティの隙を浮き彫りにしています。
ユーザーが取るべき防御策
被害を軽減するため、迅速に行動してください。
- Instagramで二要素認証(2FA)を直ちに有効化する。
- パスワードを強力で固有のものに変更し、Have I Been Pwnedで侵害状況を確認する。
- メールと電話の不審な動きを監視し、心当たりのないリンクはクリックしない。
- アプリの権限とログイン履歴を見直し、不審な点がないか確認する。
組織は従業員アカウントをスキャンすべきです。流出データが企業スパイ活動の燃料になり得るためです。この侵害は、オンラインでのプライバシー重視の習慣の必要性を再確認させるものであり、専門家はMetaに対してより厳格なAPI制御を求めています。2026年の脅威環境では、警戒を怠らないことが依然として重要です。
翻訳元: https://gbhackers.com/massive-instagram-data-breach/
