Instagramはセキュリティ侵害への懸念を否定し、最近の予期しないパスワードリセットメールは、システム全体の侵害ではなく、外部の第三者が現在は修正済みの脆弱性を悪用したことが原因だと説明しました。
The ソーシャルメディア大手は、未知の脅威アクターがユーザーのアカウントを実際に侵害することなく、ユーザーになりすましてパスワードリセットメールを要求できてしまう欠陥が自社システムに存在していたことを確認しました。Instagramはその後この問題を修正し、ユーザーアカウントは安全であると強調しました。
同社は短い声明を発表し、「外部の第三者が一部の人に対してパスワードリセットメールを要求できてしまう問題を修正した」と述べました。プラットフォームは「当社システムへの侵害はない」と強調し、この期間に受け取った心当たりのないパスワードリセットメールは安全に無視できるとしています。
We fixed an issue that let an external party request password reset emails for some people. There was no breach of our systems and your Instagram accounts are secure.
You can ignore those emails — sorry for any confusion.
— Instagram (@instagram) 2026年1月11日
セキュリティ研究者は、この欠陥は懸念すべきものだったものの、攻撃者がパスワードを変更したり、アカウントへ不正アクセスしたりすることはできなかったと指摘しています。
代わりに、この脆弱性は正規のように見えるパスワードリセットの促しをユーザーに大量送信するために悪用されました。これはソーシャルエンジニアリング攻撃や、標的層にパニックを引き起こす目的でよく用いられる手口です。
最近のデータ漏えいとの関連
この事案のタイミングは、Instagramユーザーにとってさらなる懸念を呼び起こしています。今回の説明は、約1,750万件のInstagramアカウントに関する機微情報が露出した大規模なデータ漏えいの報告に続くものです。
そのデータセットは、2024年にスクレイピングされたとされ、ダークウェブのフォーラムで宣伝されていました。内容には、ユーザー名、メールアドレス、電話番号、位置情報の一部が含まれていました。
セキュリティ専門家は、脅威アクターが露出した連絡先情報を用いて、パスワードリセットの脆弱性を通じて特定のユーザーを狙い、複数の攻撃ベクトルを組み合わせて影響を拡大させた可能性があるかどうかを調査しています。
Instagramの保証にもかかわらず、セキュリティの専門家はユーザーに対し、次のような予防的対策を取るよう助言しています。
- アカウントで二要素認証を有効にする
- プラットフォームごとに異なる、強力で固有のパスワードを使用する
- 最近のセキュリティ関連ニュースに言及するフィッシングメッセージに警戒する
- 不審なログイン試行がないかアカウントのアクティビティを監視する
Instagramは中核インフラが侵害されたわけではないとしていますが、サイバーセキュリティの専門家は、大規模なデータスクレイピングとプラットフォームの脆弱性が組み合わさることで、ソーシャルメディア利用者に重大なセキュリティ上および評判上のリスクをもたらし得ることを、この事案が示していると強調しています。
これらの問題が同時に起きていることは、進化する脅威環境において、プラットフォーム側のセキュリティとユーザーの意識の双方が重要であることを浮き彫りにしています。
翻訳元: https://gbhackers.com/instagram-confirms-no-system-breach/
