TokyoBlackHatNews

bleepingcomputer.com 5分で読了

研究者が、Instagramの非公開プロフィールから写真が漏えいしていた証拠を公開

Image

あるセキュリティ研究者が、Instagramの一部の非公開プロフィールが、未認証の訪問者に対してユーザー写真へのリンクを返していたことを示す詳細な証拠を公開しました。

Instagramの非公開アカウント機能は、写真、動画、ストーリーズ、リールを承認済みフォロワーのみに制限するよう設計されています。しかし研究者の調査結果によると、特定のケースでは、非公開プロフィールのコンテンツが公開アクセス可能なサーバー応答に埋め込まれていました。

研究者によれば、Metaは報告提出後にこの問題を修正したものの、その後「該当なし」としてクローズし、脆弱性は再現できなかったと述べたとのことです。

Instagramの非公開プロフィールから写真が漏えい

セキュリティ研究者のJatin Banga氏は最近、特定のInstagram非公開プロフィールが、これらのアカウントの非公開写真へのリンクを—HTMLレスポンス本文そのものの中で—漏えいしていたことを実証しました。

特定のモバイル端末から未認証ユーザーがアクセスすると、非公開のInstagramプロフィール(研究者が作成した https://instagram.com/jatin.py など)には、標準のメッセージ「このアカウントは非公開です。フォローすると写真や動画を見られます。」が表示されます。

Image
未認証ユーザーがアクセスした際の非公開Instagramプロフィールの例

しかし、影響を受けるプロフィールのHTMLソースコードでは、一部の非公開写真へのリンクがページ応答に埋め込まれていました。

Banga氏のでは、HTML内で返される polaris_timeline_connection JSONオブジェクトに、本来アクセスできないはずの写真へのエンコードされたCDNリンクが含まれていました。

HTML source code returning links to private photos
非公開写真へのリンクを返すHTMLソースコード

Banga氏が共有し、以下に埋め込まれている動画の概念実証(PoC)は、このデータ漏えい脆弱性が実際に動作している様子を示しています。

正式なテストを、Banga氏が作成した非公開テストプロフィール、または使用許可を明示的に得たものに限定したところ、少なくとも28%のプロフィールが非公開写真へのリンクを返していたことが分かったといいます。

研究者によれば、Metaは報告後にひそかに問題を修正

研究者は、2025年10月12日の早い段階で、Instagramの親会社であるMetaに調査結果を共有したと述べています。

Metaは当初、この問題をCDNキャッシュの問題だと分類しましたが、研究者はこの見解に異議を唱えました。

「これはCDNキャッシュの問題ではありませんでした。Instagramのバックエンドが、レスポンスを生成する前に認可チェックを行えていなかったのです」と、Banga氏は書いており、サーバー側の認可不備だと説明しています。

Banga氏は問題を明確化するため2件目のバグ報告を作成しましたが、数日にわたる長い議論にもかかわらず、Metaとの間で満足のいく解決には至らなかったといいます。

研究者によると、やり取りを重ねた後、この案件は「該当なし」としてクローズされたものの、エクスプロイトは10月16日ごろに動作しなくなったとのことです。

「標準的な協調的開示の猶予期間は90日です。私はMetaに102日を与え、複数回のエスカレーションも試みました。私がテストしたすべてのアカウントでエクスプロイトは動作しなくなりました—ただし、Metaから根本原因分析が示されていないため、根本的な問題が本当に解決したかは確認できません」と、彼は続けます。

Metaとのやり取りや欠陥の広範な証拠を記録したGitHubリポジトリ、および開示内容に加えて、Banga氏は欠陥の存在を示す追加資料もBleepingComputerに提供しました。

私たちはBanga氏に、Internet ArchiveのWayback Machineのような公開サービスを使ってテスト用の非公開プロフィールをアーカイブしなかった理由を尋ねました。そうすれば、非公開写真へのリンクが含まれたHTMLソースコードを保存でき、バグの存在を疑いようなく確認できたはずです。

「Wayback Machineは、このサーバー側の漏えいを引き起こすのに必要な特定のモバイルUser-Agentとヘッダーを送信しないため、クローラーでは取得できなかったのです」と、研究者はBleepingComputerに説明しました。

公開されたやり取りの中で、Metaの脆弱性トリアージ担当アナリストは次のように書いています。

Meta response to Instagram private profile leak bug
Instagramの非公開プロフィール漏えいバグに対するMetaの回答 (Jatin B.)

最終的に、会話の過程で、アナリストは次のように述べているのが確認できます。

「再現できない問題が修正されたという事実は、その時点で再現できなかったという事実を変えるものではありません。たとえ問題が再現可能だったとしても、別の問題を修正するための変更が行われ、その意図しない副作用としてこの問題が修正された可能性もあります。」

「私はここで報奨金を追いかけているわけではないことを強調したい。今回この開示を公にしたことで、報酬を得る可能性は放棄しました」と、Banga氏はメールでBleepingComputerに語りました。

「目的は透明性です。Metaは私の報告から48〜96時間後に重大なプライバシー漏えいを修正したのに、それを認めず、『意図しない副作用』として退けました。ログを持っているにもかかわらず、実際の根本原因を調査しようとしない彼らの過失と消極姿勢こそが本当の問題です。」

「これが実際にどれほど長く悪用されていたのかは誰にも分かりません。見つけるのはそれほど難しくなかったのですから。」

BleepingComputerは公開に十分先立って3回にわたりMetaにコメントを求めましたが、回答は得られませんでした。

翻訳元: https://www.bleepingcomputer.com/news/security/researcher-reveals-evidence-of-instagram-private-profiles-leaking-photos/

ソース: bleepingcomputer.com
#CDNリンク漏えい #HTMLレスポンス #Instagram #Meta #サーバーサイド脆弱性 #セキュリティ研究者 #プライバシー漏えい #脆弱性開示 #認可不備 #非公開アカウント

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用