今週は、特にInstagramユーザーにとって混乱の多い一週間となりました。Malwarebytesが1月9日、Meta傘下の同プラットフォームに関わるデータ侵害を追跡したと発表したためです。同社によると、ハッカーが1,750万件のInstagramアカウントのデータをオンラインに流出させたとのことでした。流出した情報には、ユーザー名、メールアドレス、電話番号、住所が含まれていました。
MalwarebytesはX(旧Twitter)で次のように述べています。「サイバー犯罪者が、ユーザー名、住所、電話番号、メールアドレスなどを含む1,750万件のInstagramアカウントの機微情報を盗み出した。「
この投稿は、今回の出来事が最近のデータ侵害であるかのように示唆していました。しかし、その主張は不正確です。Hackread.comの調査により、データは実在し捏造ではないものの、少なくとも最近サイバー犯罪者が盗み出したものではないことが確認されました。
参考までに、Malwarebytesが言及していたのは、2026年1月7日に、Solonikという別名を名乗るユーザーが投稿した、タイトル「INSTAGRAM.COM 17M GLOBAL USERS – 2024 API LEAK」のBreachForumsの投稿でした。
その投稿では、データは2024年の侵害によるもので、ユーザー名、メール、電話番号、ユーザーID、位置情報の一部が含まれると主張していました。しかし実際には、Hackread.comの調査で、2022年に収集されたスクレイピングデータを再梱包したものだと確認されました。
同じデータは、2023年6月に「vanz」として知られるユーザーによってBreachForumsで最初に流出し、同時期に別のフォーラムであるLeakBaseにも出回りました。これを2024年の流出として扱うのは、古いデータを新しいものとして再ブランド化する意図的な動きで、信憑性を水増しし注目を集めるためにしばしば使われる手口です。
数字の一致
いわゆる「最新」のInstagramデータ流出には、17,017,213件のユーザーレコードが含まれています。この数は、2023年6月に「vanz」が流出させたデータ、および2026年1月に「Solonik」が投稿したデータと完全に一致します。件数が同一であるだけでなく、サンプルデータをざっと見ただけでも、直接のコピーであることが確認できます。形式、フィールド、エントリのすべてが、以前の流出と一致しています。
Hackread.comは17,017,213件すべてのレコードを突合し、「新しい」流出は2022年の同一データを再投稿しただけで、新しいものとして再梱包されたにすぎないことを確認しました。
パスワードリセットメールと、率直だが曖昧なInstagramの回答
流出報道が再燃した後、一部のユーザーはInstagramからパスワードリセットメールを受け取り始めました。当初、データにパスワードが含まれていなかったため、これらはフィッシングの試みではないかという憶測がありました。
メールはInstagramの公式ドメインから送信され、青いチェックマーク付きで認証されていたため、多くの人がInstagramが実際に侵害され、攻撃者が実在のユーザーデータにアクセスしたのだと信じる要因となりました。
しかし本日早く、2025年1月11日、InstagramはX上でこれらの主張に言及しました。同社は侵害を否定しつつも、外部の第三者が一部ユーザーに対してパスワードリセットメールを送信させられる問題があったことを認めました。
「外部の第三者が一部の人に対してパスワードリセットメールを要求できてしまう問題を修正しました。当社システムへの侵害はなく、あなたのInstagramアカウントは安全です。これらのメールは無視してください。混乱を招いたことをお詫びします」とInstagramは投稿しました。
ここでより大きな疑問が生じます。この外部の第三者とは誰で、どのようにして正規のパスワードリセットメールを送信できたのでしょうか。スクレイピングされたデータセットに含まれる同じユーザー名を使って、誰か(あるいは何らかの自動化システム)がInstagramのパスワードリセット機能を悪用していたのでしょうか。
この活動の背後に誰がいたのかは依然として不明ですが、ユーザーは自分が要求していないパスワードリセットメールを受け取っており、それが混乱を増幅させ、侵害の主張が広がる一因となりました。
サイバーセキュリティニュースのタブロイド化
サイバーセキュリティ報道における深刻化する問題の一つは、信頼できる情報源というよりタブロイド紙のように振る舞う媒体の増加です。こうした媒体はクリックを狙って速報を急ぎ、データに対して基本的な確認すら行わず、SNSやTelegramチャンネルの未検証の主張に依存することが少なくありません。
今回のInstagramの事例が示すように、「侵害」をうたう扇情的な見出しを掲げる前に、情報の出所、古さ、正当性を確認する努力がなされていませんでした。その結果、パニックを広げ、読者を混乱させ、実際のセキュリティ研究を損ない、現実のサイバー脅威に対する社会の理解を傷つけています。
Instagramユーザーへの助言:フィッシングとスミッシングのリスクは依然として残る
それでも、流出データが古いとはいえ、含まれている情報は実在のものです。詐欺師が標的型のフィッシングやスミッシング(SMSフィッシング)キャンペーンを仕掛けるには、それで十分です。データに掲載されているInstagramユーザーは、Instagramを装った不審なメール、Meta、またはその他の信頼できるサービスを名乗る連絡に警戒すべきです。
これらのメッセージは、ユーザーにパスワードを入力させたり、悪意のあるリンクをクリックさせたり、添付ファイルをダウンロードさせたりしようとする可能性があります。リンクや緊急のセキュリティ警告を含むSMSメッセージも同様です。要求していないパスワードリセットメールやメッセージを受け取った場合は、何もクリックしないでください。アプリやサイトに直接アクセスし、そこで確認してください。再利用されたデータは今でも使われ、最初に流出してから何年も経って被害をもたらすことがよくあります。
翻訳元: https://hackread.com/instagram-user-data-leak-scraped-records-2022/
