Instagramは、脅威アクターがパスワードリセットメールを大量に要求できるバグを修正したとし、1,700万件を超えるInstagramアカウントのデータがスクレイピングされオンラインで流出したとの主張が出る中で説明しました。
「一部のInstagramユーザーに対して外部の第三者がパスワードリセットメールを要求できてしまう問題を修正しました」と、Metaの広報担当者はBleepingComputerに語りました。
「当社システムへの侵害はなく、皆さまのInstagramアカウントは引き続き安全であることを改めてお伝えします。これらのメールは無視していただいて構いません。混乱を招いたことをお詫びします」
Instagramのデータ侵害があったとされる報道の過熱は、Malwarebytesがサイバー犯罪者が1,750万件のアカウントからデータを盗んだとして、顧客に対し警告したことを受けて始まりました。
この疑惑のあるInstagram データは多数のハッキングフォーラムで無料公開され、投稿者は、これは未確認の 2024年Instagram API流出を通じて収集されたものだと主張しました。
共有されたデータには合計17,017,213件のInstagramアカウントプロフィールが含まれており、 電話番号、ユーザー名、氏名、 住所、メールアドレス、Instagram IDなどが含まれます。
ただし、これらの情報が各レコードすべてに含まれているわけではなく、Instagram IDとユーザー名だけといった最小限のものもあります。
X上のサイバーセキュリティ研究者は、スクレイピングされたデータは2022年のAPIスクレイピング事件によるものだと主張していますが[1, 2]、これを裏付ける明確な証拠は提示していません。
さらにMetaはBleepingComputerに対し、2022年または2024年にAPI関連のインシデントがあったことは把握していないと述べました。
ただし、Instagramは過去にもAPIスクレイピング事件に見舞われており、例えば悪用された2017年のバグにより、推定600万件のアカウントの個人情報がスクレイピングされ販売されたことがあります。
新たに流出したInstagramデータが、2017年の流出と、ここ数年の追加情報をまとめたものかどうかは不明です。
BleepingComputerは、Instagram情報を流出させた人物に対し、いつ盗まれたものか確認するため連絡しましたが、返答はありませんでした。
Instagramは侵害を否定
現時点で、このインシデントが新たなInstagramのデータ侵害を示すという証拠はありません。Metaは、2022年または2024年にAPIが侵害された事実は把握しておらず、新たな侵害も発生していないとしています。
また、研究者は流出したデータセットが最近の脆弱性によって取得されたことを示す証拠を提示していません。
むしろ、情報からは、このデータが複数の情報源から数年にわたって以前にスクレイピングされた情報をまとめたものかもしれないことが示唆されます。
良いニュースとして、この流出データにはパスワードが含まれていないため、変更する必要はありません。
ただし、この情報を悪用した標的型フィッシング、スミッシング(SMSフィッシング)、ソーシャルエンジニアリング 攻撃には引き続き警戒する必要があります。
脅威アクターが流出データを利用して、ユーザーのパスワードなど追加情報を盗もうとするのは一般的です。
アカウント復旧を自分で開始していないのにInstagramのパスワードリセットメールや、電話番号宛てにテキストコードが届いた場合は、単に無視して削除してください。
アカウントで二要素認証を有効にしていない場合は、有効にしてセキュリティを高めることを強く推奨します。
