TokyoBlackHatNews

breached.company 8分で読了

Instagramの1,750万人分ユーザーデータ露出:古いデータ、新しい見出し、そして同じ構造的失敗

2026年1月7日、「Solonik」という別名で活動する脅威アクターが、BreachForumsに「INSTAGRAM.COM 17M GLOBAL USERS — 2024 API LEAK」と題したデータセットを投下しました。この流出データには、ユーザー名、表示名、メールアドレス、電話番号、住所の一部などを含む約1,750万件のレコードが含まれており、構造化されたJSON形式で整然とまとめられていました。これは自動化されたAPI収集を強く示唆します。

48時間以内に、世界中の何百万人ものInstagramユーザーが、自分では要求していない正規のパスワードリセットメールを受け取り始めました。パニックが広がり、見出しは「侵害」を叫びました。Metaはすべてを否定しました。

実際に起きたことはこうです。そして、本当の論点が侵害そのものではない理由も。

タイムライン:静かな漏えいから混乱へ

2024年(推定):InstagramのAPI露出を通じてデータが収集される。構造化JSONの形式とフィールドの一貫性から、手作業のスクレイピングではなく、設定ミスまたは過剰に許可されたエンドポイントを介した体系的な抽出だったことが示されます。

2026年1月7日:SolonikがBreachForumsでデータセットを公開し、JSONおよびTXT形式で無料ダウンロードとして提供。

2026年1月8日(米東部時間 午前4〜5時ごろ):世界中のユーザーが、Instagramの正規ドメイン[email protected]からの、依頼していないパスワードリセットメールを受信し始める。数十通受け取ったという報告も。

2026年1月9〜10日:MalwarebytesがX(Twitter)で警告を発し、1,750万アカウントが侵害されたと注意喚起。セキュリティコミュニティが騒然となる。

2026年1月11日:InstagramがXで回答。「外部の第三者が一部の人に対してパスワードリセットメールを要求できてしまう問題を修正しました。当社システムへの侵害はなく、Instagramアカウントは安全です。」

2026年1月12日:Have I Been Pwnedがデータセットを追加し、1,700万行と、620万件のユニークなメールアドレスを確認。Troy Huntは、このデータは「時期は一致するものの、プラットフォーム上で開始されたパスワードリセット要求とは無関係に見える」と指摘。

実際に露出したもの

このダンプに含まれる内容を正確に整理しましょう:

  • Instagramのユーザー名とユーザーID
  • 表示名
  • メールアドレス(ユニーク620万件が確認済み)
  • 国際電話番号
  • 住所の一部および位置情報データ
  • アカウントのメタデータ

含まれていないもの:パスワード、認証トークン、またはアカウントへ直接アクセスできる認証情報。

「それで何が問題なのか?」という問い

ここで多くの報道は見誤ります。セキュリティ専門家の即時反応は概ねこうでした。「2024年のデータだ。連絡先情報にすぎない。攻撃者はすでに何十億件も持っている。何が大問題なんだ?」

この反応は、正しいと同時に危険なほど不十分です。

確かに、これは古いデータです。 構造化されたAPI応答は、2024年に収集されたことを明確に示しています。誰かが収益化—より正確には武器化—することを決めるまで、約2年間眠っていました。

確かに、攻撃者はすでに巨大な連絡先データベースを持っています。 LinkedInのスクレイピング、Facebookの漏えい、その他無数の侵害を通じて、脅威アクターは世界のインターネット利用者の相当割合をカバーするデータセットを蓄積してきました。

しかし、これが違う点はここです:

Instagramのデータは、ユーザー名を実在の人物と物理的な所在地に結び付けます。ユーザー名(公開された人格)と自宅住所(現実世界)を組み合わせると、ストーカー、スワッティング実行者、身元詐称犯に完全なロードマップを渡すことになります。あるセキュリティアナリストは「脅威を『デジタル上の迷惑』から『物理的な危険』へ引き上げる」と述べました。

現実世界への影響は即座に現れました。攻撃者は露出したメールアドレスを使い、Instagramの正規のパスワードリセット機構を大規模に作動させました。目的はアクセス奪取(パスワードは持っていない)ではなく、混乱を生み、どのアカウントが稼働しているかを検証し、フィッシングキャンペーンの標的を下準備することでした。

Metaの公式見解は「当社システムへの侵害はなかった」です。

これは、最も狭い意味では技術的に正しい。データはサーバー侵入によって抽出されたのではありません。API—つまり、プログラムによるアクセスのために設計されたInstagram自身のインターフェース—を通じて収集されたのです。

しかし、これを「侵害ではない」と呼ぶのは、泥棒が窓を割らずに鍵のかかっていない裏口から入ったから家は盗まれていない、と言うようなものです。結果は同じです。本来保護されるべきユーザーデータが、犯罪フォーラムで流通しているのです。

Metaの声明は、都合よく次の点も無視しています:

  • そもそもなぜAPIがこのレベルのデータ抽出を許していたのか
  • なぜ露出が約2年間検知されなかった(または対処されなかった)のか
  • なぜInstagramはユーザーアカウントに紐づく住所を保存する必要があったのか
  • なぜ外部者がパスワードリセット機構を大規模に作動させられたのか

彼らが発表したパスワードリセットの「修正」は、病気ではなく症状に対処しているにすぎません。

パターン:なぜこれが繰り返されるのか

この事件は、Metaのセキュリティ史における憂鬱なほどお馴染みのテンプレートに当てはまります:

2017年 – 「セレブリティ・バグ」:APIの脆弱性により、ハッカーが著名アカウントの電話番号とメールアドレスをスクレイピング可能に。

2019年 – 「Chtrbox漏えい」:保護されていないAWSデータベースに、位置情報を含む4,900万人分のインフルエンサー記録が保存されていた。

2021年 – 「Socialarks漏えい」:Facebook、Instagram、LinkedInにまたがり、2億1,400万件の記録が露出。

2024年9月:アイルランドのデータ保護委員会が、Metaが6億件のFacebookおよびInstagramのパスワードを平文で保存していたことを発見。2012年以降、2万人超の従業員が一部にアクセス可能だったとして、Metaに9,100万ユーロ(1億100万ドル)の制裁金。

2026年1月:そして、また同じことが起きています。

繰り返されるテーマは、高度な攻撃者ではありません。構造的な怠慢です。過剰に許可されたAPI、過度なデータ収集、弱い内部アクセス制御、そして「成長」を理由に正当化される何年分もの技術的負債。

本当の問題:データ最小化の失敗

ユーザーが問うべきなのは「自分のパスワードは十分強かったか?」ではありません。

「そもそも、なぜInstagramが私の住所を持っていたのか?」です。

Instagramが機能するために自宅住所は必要ありません。連絡先情報への長期的アクセスも必要ありません。まして、その攻撃面をAPIエンドポイントとして露出させる必要はありません。

しかし、より多くのデータを集めれば、広告ターゲティングは容易になり、分析は豊かになり、サードパーティ連携は速くなります。ビジネスモデルは最大限のデータ蓄積を促します。セキュリティは下流の関心事—被害が出てから対処するもの—になってしまうのです。

これは、罰金では解決しない構造問題です。Metaは平文パスワード事件で1億100万ドルを支払いました。これは2024年売上の約0.07%にすぎません。コンプライアンスのコストは、抑制のコストより依然として低いのです。

防御で本当に重要なこと

一般的な助言は当てはまり、今も重要です:

  • 多要素認証を有効化(SMSではなく認証アプリを使用)
  • パスワードマネージャーでユニークかつ強力なパスワードを使用
  • 依頼していないパスワードリセットメールは無視—不安ならアプリから直接確認
  • Have I Been Pwnedを確認して自分のメールがこのダンプに含まれていたかを見る
  • 連携アプリを見直し不要なもののアクセス権を取り消す
  • Instagramの活動に言及する標的型フィッシングに注意する

ただし、これで守れるもの/守れないものについて正直であるべきです:

個々のユーザーは、見えないバックエンドの露出、静かなAPI漏えい、あるいはそもそも共有する選択をしていないデータに対して防御できません。プラットフォーム自体が設定ミスのインターフェースを通じて連絡先情報を漏出させているなら、MFAは助けになりません。

広告ネットワークは、ユーザーデータを飴のように第三者と取引します。ビジネスモデル全体が、詳細なユーザープロファイル、行動追跡、データのエンリッチメントに依存しています。あらゆる統合ポイント、あらゆるAPI、あらゆる第三者提携が潜在的な露出を生みます。

問題は、これらのプラットフォームでインシデントが起きるかどうかではありません。犯罪フォーラムにデータが置かれてから、誰かが気づくまでにどれだけ時間がかかるかです。

このケースでは:約2年。

セキュリティ責任者への提言

業務でInstagramの利用を許可している組織向け:

  1. どの従業員アカウントがビジネスプロフィールへのアクセス権を持つかを監査する
  2. ビジネスアカウントに紐づく個人情報を見直す
  3. ビジネスアカウントは個人用ではなく専用のメールアドレスを使用する
  4. 漏えいメールアドレスを用いた企業SSOへのクレデンシャルスタッフィング試行を監視する

ポリシーおよび調達向け:

  1. プラットフォームのセキュリティ履歴をベンダーリスク評価に組み込む
  2. エンタープライズ向けソーシャルメディア契約にデータ最小化のコミットメントを要求する
  3. 従業員に影響する第三者プラットフォーム侵害への対応プロトコルを整備する

業界全体に向けて:

企業が、侵害だけでなく、不必要なデータ蓄積や危険なインターフェースについても責任を問われるようになるまで、このパターンは続きます。静かに。予測可能に。大規模に。

今回のInstagramの件が注目に値するのは規模のためではありません。1,750万は現代の侵害基準では控えめです。注目に値するのは、これらのプラットフォームを動かすデータ収集慣行が、避けがたい露出を生み出すことを、またしても示した点です。

ビジネスモデルこそが脆弱性なのです。

要点:

  • 2024年のAPI露出を通じて収集されたデータが、2026年1月7日に公開
  • 総計1,750万件;Have I Been Pwnedがユニークなメール620万件を確認
  • パスワードは露出していないが、ユーザー名に住所が紐づくことでリスクが増大
  • Metaは「侵害」を否定しつつ、パスワードリセット機構の悪用は認める
  • これは2017年から続くAPI関連露出のパターンにおけるMetaの最新例
  • 個人のセキュリティ対策は重要だが、プラットフォームレベルのデータガバナンス不全は解決できない

翻訳元: https://breached.company/the-instagram-17-5-million-user-data-exposure-old-data-new-headlines-and-the-same-structural-failures/

ソース: breached.company
#API漏えい #BreachForums #Have I Been Pwned #Instagram #Meta #データ最小化 #パスワードリセット悪用 #フィッシング #プラットフォームセキュリティ #個人情報流出

関連記事

サードパーティのメールベンダーが侵害され、Flickrの3,500万人のユーザーデータが流出

フリード・フランクのデータ侵害でJPMorganとゴールドマン・サックスのプライベート・エクイティ投資家を含む46,000人超が露出:ウォール街のエリート法律事務所が大手銀行顧客にとっての「負債」に

SoFi Technologiesのデータ侵害で数万人分が流出:フィンテック利用者が知っておくべきこと