TokyoBlackHatNews

bleepingcomputer.com 5分で読了

研究者が、Instagramの非公開プロフィールから写真が漏えいする証拠を公開

Image

あるセキュリティ研究者が、Instagramの一部の非公開プロフィールが、未認証の訪問者に対してユーザー写真へのリンクを返していたことを示す詳細な証拠を公開しました。

Instagramの非公開アカウント機能は、写真、動画、ストーリーズ、リールを承認済みフォロワーのみに制限するよう設計されています。しかし研究者の調査結果によれば、特定のケースでは、非公開プロフィールのコンテンツが公開アクセス可能なサーバー応答に埋め込まれていました。

研究者によると、Metaは同氏の報告提出後に問題を修正したものの、その後「該当なし」としてクローズし、脆弱性は再現できないと述べたとのことです。

Instagramの非公開プロフィールから写真が漏えい

セキュリティ研究者のJatin Banga氏は最近、特定のInstagram非公開プロフィールが、これらのアカウントの非公開写真へのリンクを—HTMLレスポンス本文そのものの中で—漏えいしていた仕組みを実証しました。

特定のモバイル端末から未認証ユーザーがアクセスすると、非公開のInstagramプロフィール(研究者が作成した https://instagram.com/jatin.py など)には、標準のメッセージ「このアカウントは非公開です。フォローすると写真や動画を見ることができます。」が表示されます。

Image
未認証ユーザーがアクセスした場合の非公開Instagramプロフィールの例

しかし、影響を受けるプロフィールのHTMLソースコードには、一部の非公開写真へのリンクがページ応答に埋め込まれていました。

Banga氏のでは、HTML内で返される polaris_timeline_connection JSONオブジェクトに、本来アクセスできないはずの写真へのエンコードされたCDNリンクが含まれていました。

HTML source code returning links to private photos
非公開写真へのリンクを返すHTMLソースコード

Banga氏が共有し、下に埋め込まれている動画の概念実証(PoC)は、このデータ漏えい脆弱性が実際に動作している様子を示しています。

正式なテストを、Banga氏が作成した非公開テストプロフィール、または明示的な使用許可を得たものに限定したところ、少なくとも28%のプロフィールが非公開写真へのリンクを返していたことが分かったといいます。

研究者によれば、Metaは報告後にひそかに問題を修正

研究者は、遅くとも2025年10月12日の時点で、調査結果をInstagramの親会社であるMetaに共有していたと述べています。

Metaは当初、この問題をCDNキャッシュの問題として分類しましたが、研究者はこの見解に異議を唱えました。

「これはCDNキャッシュの問題ではありませんでした。Instagramのバックエンドが、レスポンスを生成する前に認可チェックを行えていなかったのです」と、Banga氏は書いており、サーバー側の認可失敗だと説明しています。

Banga氏は問題を明確化するために2件目のバグ報告を作成しましたが、数日にわたる長い議論にもかかわらず、同社との間で満足のいく解決には至らなかったといいます。

研究者によると、やり取りを重ねた後、案件は「該当なし」としてクローズされたものの、10月16日ごろにはエクスプロイトが動作しなくなったとのことです。

「標準的な協調的開示の期間は90日です。私はMetaに102日を与え、複数回のエスカレーションも試みました。私がテストしたすべてのアカウントでエクスプロイトは動作しなくなりました—ただしMetaから根本原因分析が示されていないため、根底にある問題が本当に解決したのかは確認できません」と、同氏は続けます。

欠陥に関する広範な証拠とMetaとのやり取りを記録したGitHubリポジトリに加え、Banga氏は欠陥の存在を示す追加資料をBleepingComputerにも提供しました。

私たちはBanga氏に対し、Internet ArchiveのWayback Machineのような公開サービスを使ってテスト用の非公開プロフィールをアーカイブしなかった理由を尋ねました。そうすれば、非公開写真へのリンクを含むHTMLソースコードを保存でき、バグの存在を疑いようなく確認できたはずです。

「Wayback Machineは、このサーバー側の漏えいを引き起こすのに必要な特定のモバイルUser-Agentとヘッダーを送信しないため、同サービスのクローラーでは取得できません」と、研究者はBleepingComputerに説明しました。

公開されたやり取りの中で、Metaの脆弱性トリアージ担当アナリストは次のように書いています。

Meta response to Instagram private profile leak bug
Instagramの非公開プロフィール漏えいバグに対するMetaの回答 (Jatin B.)

最終的に、会話の過程で、アナリストが次のように述べているのが確認できます。

「再現不能な問題が修正されたという事実は、その時点で再現できなかったという事実を変えるものではありません。たとえ問題が再現可能だったとしても、別の問題を修正するための変更が行われ、その意図しない副作用としてこの問題が修正された可能性があります。」

「強調しておきたいのは、私はここで報奨金を追っているのではありません。この開示を公にすることで、私は報酬を得る可能性を放棄しました」と、Banga氏はメールでBleepingComputerに語りました。

「目的は透明性です。Metaは私の報告から48〜96時間後に重大なプライバシー漏えいをパッチしたにもかかわらず、それを認めず、『意図しない副作用』として退けました。ログを持っているにもかかわらず、実際の根本原因を調査しようとしない同社の怠慢と消極姿勢こそが本当の問題です。」

「これが実際にどれほど長く悪用されてきたのかは誰にも分かりません。見つけるのはそれほど難しくなかったのですから。」

BleepingComputerは公開に十分先立って3回にわたりMetaにコメントを求めましたが、回答は得られませんでした。

翻訳元: https://www.bleepingcomputer.com/news/security/researcher-reveals-evidence-of-private-instagram-profiles-leaking-photos/

ソース: bleepingcomputer.com
#Instagram #Meta #セキュリティ研究 #バグ報奨金 #プライバシー #情報漏えい #脆弱性 #認可不備 #責任ある情報開示 #非公開アカウント

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用