Cybersecurity Newsは1月11日(現地時間)、「Instagram Confirms no System Breach and Fixed External Party Password Reset Issue」において、Instagramから流出した1700万件のユーザー情報がサイバー攻撃に悪用されている可能性を報じた。

これは脅威アクターの発表に基づく予測であり、事実は確認されていない。しかしながら、これら攻撃時期に類似性がみられることから、情報流出とサイバー攻撃との間に関連があるのではないかとの憶測を呼んでいる。

  • Instagram Confirms no System Breach and Fixed External Party Password Reset Issue

    Instagram Confirms no System Breach and Fixed External Party Password Reset Issue

Instagramのユーザー情報流出の可能性

詳細については、Malwarebytesが「Received an Instagram password reset email? Here’s what you need to know | Malwarebytes」として報じている。脅威アクター「Solonik」が2026年1月7日(現地時間)、ダークWebフォーラムで1700万件のInstagramユーザー情報を窃取し、販売すると投稿。ほぼ、同時期にInstagramユーザーを標的とするパスワードリセットを通知する不審なメールが増加したという。

販売されたユーザー情報に含まれるデータは次のとおり。パスワードが含まれていないことから、脆弱なパスワードを設定していない限り、不正アクセスされる可能性は低いとみられている。

  • ユーザー名
  • 氏名
  • ユーザーID
  • メールアドレス
  • 電話番号
  • 部分的な位置情報

不審メールの送信

不審なパスワードリセットメールはInstagram公式から送信された可能性がある。InstagramはXへの投稿で次のように述べ、攻撃者が公式システムを悪用できたことを明らかにしている。

「一部ユーザーに対して、外部からパスワードの再設定メールをリクエストできる問題を修正しました」

  • 公式システムを悪用したとみられる不審メールの例 - 引用:Malwarebytes

    公式システムを悪用したとみられる不審メールの例 引用:Malwarebytes

これまでの調査からは、これら攻撃を直接結び付ける証拠は確認されていない。また、時期も完全には一致しておらず、若干のズレがあることからさまざまな憶測を呼んでいる。

影響と対策

本事案についてInstagramは「システムへの侵害はなく、Instagramは安全です」と述べ、パスワードリセットに関する不審なメールを無視するように呼びかけている。ユーザーに影響はないとの発表だが、専門家はフィッシングメールおよびソーシャルエンジニアリング攻撃に悪用する可能性を指摘している。

攻撃者の主張するとおりにユーザー情報と国情報(言語を推定可能)が流出していた場合、標的ユーザーの言語で説得力のあるフィッシングメールを送信することができる。つまりパスワードリセットメールのみを警戒するのではなく、Instagramに関連するすべてのメールを警戒する必要がある。

Malwarebytesはこれら攻撃への対策として、二要素認証(2FA: Two-Factor Authentication)の有効化を推奨している。パスワードの流出が懸念されるユーザーに対しては、メール本文のリンクには触れず、公式アプリまたは公式Webサイトからパスワードを変更してほしいと呼びかけている。