先週、多くのInstagramユーザーが、パスワードリセットのリクエストについて警告する、プラットフォームからの身に覚えのないメールを受け取り始めました。
メッセージには次のように書かれていました:
「こんにちは {username} さん、
Instagramのパスワードをリセットするリクエストを受け取りました。
このメッセージを無視しても、パスワードは変更されません。パスワードのリセットをリクエストしていない場合は、お知らせください。」
ユーザーがこれらのメールを受け取り始めたのとほぼ同じ時期に、「Solonik」というハンドルネームを使うサイバー犯罪者が、約1,700万人のInstagramユーザーの情報を含むとされるデータを、ダークウェブのフォーラムで販売すると持ちかけました。
これら約1,700万件のレコードには、次の情報が含まれています:
- ユーザー名
- 氏名
- ユーザーID
- メールアドレス
- 電話番号
- 国
- 一部の位置情報
なお、このデータにはパスワードは記載されていません。
2つの出来事のタイミングが重なっているにもかかわらず、Instagramはこの週末、両者は関連していないと否定しました。プラットフォームX上で、同社は、外部の第三者が「一部の人々」に対してパスワードリセットメールをリクエストできてしまう問題を修正したと述べました。
では、何が起きているのでしょうか?
先週ダークウェブで見つかったデータについて、Malwarebytesの詐欺およびAIリサーチ部門グローバル責任者であるShahak Shalev氏は、「Instagramのデータ流出には、他の古い“Instagramの侵害”とされる事案のデータが含まれている兆候があり、いわば寄せ集めのようなものだ」と共有しました。Shalev氏のチームがデータを調査する中で、ユーザーから報告された最も早いパスワードリセットのリクエストは、データがダークウェブに初めて投稿される数日前に発生していたとも述べており、これは「公開される前に、よりクローズドなグループ内でデータが出回っていた可能性がある」ことを意味するかもしれません。
しかし、別の可能性としてShalev氏は、「別の脆弱性/データ漏えいが起きている中で、悪意ある人物が[Instagram]アカウントに対してスプレー攻撃を試みていたのかもしれない。Instagramの発表は、そのスプレー攻撃に言及しているように見える。怪しいタイミング以外に、現時点で両者の明確なつながりはない」とも述べました。
ただし重要なのは、これらの出来事が関連しているかどうかなど、詐欺師は気にしないということです。状況に乗じて偽メールを送りつけようとするでしょう。
Shalev氏は「誰もがアプリから直接パスワードをリセットできるように、また他のフィッシング連絡にも警戒できるように、データが入手可能になっていることを人々に知らせるのが重要だと感じた」と述べました。
今後さらに分かったことがあればお知らせしますので、続報をお待ちください。
安全を保つ方法
Instagramアカウントで2FAを有効にしている場合、Metaが提案しているとおり、メールを無視しても確かに安全だと私たちは考えています。
念のため安全策を取り、パスワードを変更することにした場合は、必ずアプリ内で行い、メール内のリンクはクリックしないでください。偽メールを受け取っているリスクを避けるためです。そうしないと、詐欺師にパスワードを渡してしまうことになりかねません。
もう一つ覚えておきたいのは、これらはメタデータだということです。つまり、一部のユーザーはそれらをFacebookやWhatsAppのアカウントに再利用したり、紐づけたりしている可能性があります。そのため予防策として、Instagram、WhatsApp、Facebookで最近のログインとアクティブなセッションを確認し、見覚えのないデバイスや場所からはログアウトしてください。
自分のデータがInstagramのデータ侵害(あるいはその他の侵害)に含まれていたかどうかを確認したい場合は、無料のDigital Footprintスキャンをお試しください。
