- Metaは、Instagramのパスワードリセットメールはシステム侵害ではなくエラーによって送信されたと説明
- Malwarebytesは、1,750万件のアカウント詳細が流出したと報告。過去のAPI関連インシデント(2022年または2024年)に起因する可能性
- ハッカーが本物のデータを共有していることでフィッシングのリスクが増大。ユーザーにはMetaのサイト上で直接情報を確認するよう助言
一部のInstagramユーザーが、依頼していないにもかかわらずパスワードリセットメールを受け取っています。しかし同社は、データ侵害は発生していないと述べています。
親会社のMetaは声明を発表し、これはデータ侵害ではなく、アカウントも一切危険にさらされていなかったとしています。代わりに、第三者がパスワードリセットメールを送信させられるエラーがあっただけだと主張しています。
「外部の第三者が一部のInstagramユーザーに対してパスワードリセットメールをリクエストできてしまう問題を修正しました」とMetaの広報担当者は述べました。「当社システムへの侵害はなく、皆さまのInstagramアカウントは引き続き安全であることを改めてお伝えします。これらのメールは無視していただいて構いません。混乱を招いたことをお詫びします」
いつ盗まれたのか?
これは、正体不明の脅威アクターが1,750万件のInstagramアカウントからデータを盗んだとするMalwarebytesの最近の報告に続くものです。
盗まれたデータには、ユーザーID、ユーザー名、メールアカウント、電話番号、氏名、郵送先住所が含まれていたとされています。研究者によれば、そのデータは「多数のハッキングフォーラム」に出回り、2024年のInstagram API流出から取得されたものだとされていました。
ただし、この見立てに全員が同意しているわけではありません。一部の研究者は、データは実際には2022年のAPIスクレイピングのインシデントの際に取得されたものだと考えています。一方Metaは、2022年または2024年のいずれにおいてもAPIインシデントについては何も把握していないと述べています。
データが2022年、2024年、あるいは2026年に盗まれたかどうかにかかわらず、ハッカーがダークウェブ上で本物のユーザーデータを共有しているという事実だけでも十分に懸念すべきです。これだけの情報があれば、サイバー犯罪者は説得力のあるフィッシングメールを仕掛け、ユーザーをだましてInstagramのログイン認証情報、さらにはFacebookやWhatsAppの認証情報まで共有させることができます。
潜在的な攻撃から身を守るためには、Metaまたは同社のサービスを名乗るメールはすべて無視し、各サービスの公式サイトで情報を直接確認するのが最善でしょう。
