ソーシャルメディアの定番であるInstagramは、悪意ある活動に起因して同社のシステムからユーザーに大量のパスワードリセットメールが送信されたにもかかわらず、ハッカーが同社のシステムに侵入した事実はないと述べた。
木曜日および金曜日に、ユーザーは [email protected]からのメールを受け取ったと報告した。1日に数十通届くこともあり、「Instagramのパスワードをリセットするリクエストを受け取りました」と記載されていた。メールには、受信者がその操作を開始していない場合は「このメッセージを無視できます」と書かれていた。
サイバーセキュリティ企業Malwarebytesは、盗まれたメールアドレスを使う犯罪者がInstagramのパスワードリセット機能を悪用したことに、このメールを結び付けた。
Malwarebytesは、ソーシャルプラットフォームXへの土曜日の投稿で、「サイバー犯罪者が1,750万件のInstagramアカウントの機微情報を盗み、ユーザー名、住所、電話番号、メールアドレスなどが含まれている」と述べた。
Meta Platforms傘下のInstagramはこの事案を確認し、スパムに悪用されていたパスワードリセット機能を現在はロックダウンしたと述べた。
Instagramは土曜深夜のXへの投稿で、「外部の第三者が一部の人に対してパスワードリセットメールをリクエストできてしまう問題を修正しました。当社システムへの侵害はなく、Instagramアカウントは安全です」と述べた。
同社は「それらのメールは無視してください。混乱を招いてしまい申し訳ありません」とした。
パスワードリセットのようなセキュリティ機能の悪用を防げないことには代償が伴うと、人間リスク管理企業KnowBe4のリード・セキュリティ啓発アドボケイトであるJavvad Malik氏は述べた。「攻撃者が確実にリセットを発動できるなら、パニックを作り出し、疲弊を誘発し、人々を安全でない行動へと誘導できます」と同氏は語った。
この大量のパスワードリセットメッセージは、脅威アクター「Solonik」を名乗る人物が、未特定のAPIを用いて収集したとして「17M Global Users – 2024 Leak(世界のユーザー1,700万人—2024年リーク)」から成ると説明し、サイバー犯罪フォーラムに水曜日にInstagramユーザーデータの大規模セットを漏えいさせたことに続いて発生した。
サイバーセキュリティ企業KelaはInformation Security Media Groupに対し、「Solonikはここ数日非常に活発で、複数の大規模データダンプを公開している」と語った。
Kelaによると、漏えいしたInstagramデータはSolonikが主張するような2024年のものではない。いわゆる「古いデータを新しいものとして意図的に再ブランド化する」ケースと思われ、2022年5月20日に「Calssara」を名乗るユーザーがダークウェブのフォーラムで最初に共有し、その後2023年6月に「vanz」を名乗るユーザーがBreachForumsに漏えいさせたデータセットと同一だという。
古いとはいえ、データは正当なもののようだ。無料の侵害通知サービスHave I Been Pwnedは、Instagramのデータセットには1,700万行の「公開されているInstagram情報(ユーザー名、表示名、アカウントID、場合によっては位置情報データを含む)」が含まれており、そのうち620万件のレコードには当該アカウントのメールアドレスが含まれ、場合によっては電話番号も含まれると述べた。このデータセットにパスワードは含まれていない。
Have I Been Pwnedに登録している、漏えいしたメールアドレスを持つ人には、そのメールアドレスを通じて同サービスから侵害について直接通知される。
大量パスワードリセット攻撃とデータ漏えいのタイミングは偶然一致したように見える。「スクレイピングされたデータは、時期が重なっているにもかかわらず、プラットフォーム上で開始されたパスワードリセット要求とは無関係に見える。パスワードやその他の機微データが侵害された証拠はない」とHave I Been Pwnedは述べた。
複数のセキュリティ研究者は、2022年にInstagramのAPIを使って1つ以上の違法データブローカーがスクレイピングし、2023年に漏えいしたメールアドレスが、この大量パスワードリセット攻撃に使われた可能性があるのではないかと疑問を呈した。
別の大規模スクレイピング事案が2024年11月に起きた可能性もある。サイバーセキュリティ企業DarkEyeによれば、「YoursData」を名乗るアカウントが、3カ月にわたりInstagramから「新たにスクレイピング」したユーザーデータをサイバー犯罪フォーラムで販売すると投稿したと報告した。YoursDataの出品情報では、スクレイピングデータは4億8,900万行から成り、公開情報と非公開情報の両方、ユーザー名、フルネーム、メールアドレスが含まれるとしていた。
Metaは、2022年または2024年のいずれにおいても、そのようなスクレイピング攻撃を把握していないと述べた。
可能性の一つとして、データはInstagramと連携するサードパーティサービスに由来することが考えられる。
いずれにせよ、「オンラインで流通しているデータセットは、標的型フィッシングやソーシャルエンジニアリングを通じてユーザーに現実的なリスクをもたらす」とKelaは述べ、ユーザーに対して「InstagramやMetaを装った詐欺」に注意するよう警告した。
漏えいデータにInstagramユーザーのパスワードは含まれていないため、変更する必要はない。しかしセキュリティ専門家は、すべてのInstagramユーザーに対し、多要素認証が有効化されていることを確認するよう助言した。MFAは、攻撃者が盗んだパスワードを使って直ちにアカウントへログインできるのを防ぐ(参照: MFA不足が再び問題に:ハッカーがコラボレーションツールを攻撃)。
翻訳元: https://www.databreachtoday.com/instagram-confirms-password-reset-spam-flood-denies-breach-a-30492
