InstagramのモバイルWebインターフェースにおけるサーバー側の認可不備により、完全に未認証のユーザーが、認証・フォロー関係・ユーザーの同意なしに、非公開アカウントの投稿へアクセスできてしまいました。
この脆弱性は、セキュリティ研究者Jatin Bangaが102日間にわたる協調開示の取り組みの末に公開したもので、10億人超のInstagramユーザーを保護するためのMetaの脆弱性対応プロセスおよび代替的なセキュリティ統制に重大な欠陥があることを浮き彫りにしています。
この脆弱性は、コンテンツ配信ネットワーク(CDN)のキャッシュ問題ではなく、サーバー側の認可不備を悪用するものでした。攻撃者は特定のモバイル用ヘッダーを付けて未認証のGETリクエスト instagram.com/<private_username> を送信し、サーバーは埋め込みJSONデータ構造を含むHTMLを返しました。
具体的には、 polaris_timeline_connection オブジェクトに、適切な認可チェックなしで、フル解像度の非公開写真、キャプション、制限されたメタデータへのCDNリンクが含まれていました。
この攻撃に必要だったのは、認証情報、フォロー関係、特別な権限ではなく、標的のユーザー名の知識と基本的なHTTPクライアントだけでした。
7つの許可されたアカウントでのテストでは、テストしたアカウントのおよそ28%がこの脆弱性の影響を受けることが判明しました。
ただしBangaは、テスト中に観察された偶発的な発見パターンに基づき、実際の悪用可能率はより高い可能性があると示唆しています。
影響が予測不能なアカウントの一部にのみ発現するという条件付きの性質は、すべてのユーザーに一様に影響する普遍的な攻撃よりも、特に危険でした。
Bangaは2025年10月12日に、Metaのバグバウンティプログラムへ初回報告を提出しました。Metaの最初の回答は、この問題をCDNキャッシュの副産物として誤分類し、調査なしにケースをクローズしました。
同日提出された2通目の補足報告では、Metaの理解を修正し、この認可不備がネットワーク層の問題とは異なることを明確にしました。
10月16日、詳細な技術的証拠が提供されてからわずか4日後には、以前脆弱だったすべてのアカウントでこの脆弱性が機能しなくなり、Metaが修正したことを示していました。
重大なのは、Metaが修正を明示的に確認したり、脆弱性の存在を認めたりしなかった点です。
10月27日、Metaは公式に「この問題を再現できません」と回答しました。これは、Bangaから脆弱なテストアカウントの提供を求め、その後まさにそれらのアカウントを修正していたにもかかわらずです。
Metaは是正を、狙ったバグ修正ではなく無関係なインフラ変更による意図しない結果だと位置づけ、恒久的なセキュリティ対策が実装されたのかどうかに疑問を投げかけました。
Bangaは、タイムスタンプ付きのPoC動画、ヘッダーを含む完全なHTTPネットワークログ、修正前後のスクリーンショット、Metaとの全やり取りなど、包括的な証拠で脆弱性を記録しました。
すべての資料は暗号学的な完全性検証とともにGitHubへコミットされ、事後的な改ざんや、誤った特徴付けの主張を防止しました。
Metaの対応からは、3つの重大な懸念が浮上しました。すなわち、社内トレースのためのデバッグデータおよび X-FB-Debug ヘッダーの提供を拒否したこと、脆弱性の発現条件を理解するための比較アカウント分析データセットを却下したこと、そして恒久的な是正を確認するための目に見える根本原因分析を実施しなかったことです。
これらの拒否により、問題が包括的に解決されたことを独立に検証することができませんでした。
Instagramは10億人超のユーザーにサービスを提供しており、アカウントのプライバシー設定はバックエンドの認可強制に全面的に依存しています。
予測不能なアカウントの一部に影響する条件付き脆弱性は、特定ユーザーを狙った攻撃を可能にしつつ、大規模には検知しにくいため、特にリスクが高いものです。
標準の90日間の協調開示期間を超過した後に行われたBangaの公的開示は、重大なプライバシー侵害に対するMetaの取り合わない姿勢、脆弱性の存在を認めない対応、そして是正措置に関する透明性の不足に対する不満を強く示しています。
この事案は、組織側の対応に透明性や説明責任が欠ける場合、セキュリティ研究者が脆弱性を徹底的に記録し、証拠の暗号学的完全性を維持すべき理由を示しています。
翻訳元: https://cyberpress.org/instagram-vulnerability/