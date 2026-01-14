Cybersecurity Newsは1月11日(現地時間)、「Instagram Confirms no System Breach and Fixed External Party Password Reset Issue」において、Instagramから流出した1700万件のユーザー情報がサイバー攻撃に悪用されている可能性を報じた。

これは脅威アクターの発表に基づく予測であり、事実は確認されていない。しかしながら、これら攻撃時期に類似性がみられることから、情報流出とサイバー攻撃との間に関連があるのではないかとの憶測を呼んでいる。

Instagramのユーザー情報流出の可能性

詳細については、Malwarebytesが「Received an Instagram password reset email? Here’s what you need to know | Malwarebytes」として報じている。脅威アクター「Solonik」が2026年1月7日(現地時間)、ダークWebフォーラムで1700万件のInstagramユーザー情報を窃取し、販売すると投稿。ほぼ、同時期にInstagramユーザーを標的とするパスワードリセットを通知する不審なメールが増加したという。

販売されたユーザー情報に含まれるデータは次のとおり。パスワードが含まれていないことから、脆弱なパスワードを設定していない限り、不正アクセスされる可能性は低いとみられている。

ユーザー名

氏名

ユーザーID

メールアドレス

電話番号

国

部分的な位置情報

不審メールの送信

不審なパスワードリセットメールはInstagram公式から送信された可能性がある。InstagramはXへの投稿で次のように述べ、攻撃者が公式システムを悪用できたことを明らかにしている。

「一部ユーザーに対して、外部からパスワードの再設定メールをリクエストできる問題を修正しました」

公式システムを悪用したとみられる不審メールの例 引用：Malwarebytes

これまでの調査からは、これら攻撃を直接結び付ける証拠は確認されていない。また、時期も完全には一致しておらず、若干のズレがあることからさまざまな憶測を呼んでいる。

影響と対策

本事案についてInstagramは「システムへの侵害はなく、Instagramは安全です」と述べ、パスワードリセットに関する不審なメールを無視するように呼びかけている。ユーザーに影響はないとの発表だが、専門家はフィッシングメールおよびソーシャルエンジニアリング攻撃に悪用する可能性を指摘している。

攻撃者の主張するとおりにユーザー情報と国情報(言語を推定可能)が流出していた場合、標的ユーザーの言語で説得力のあるフィッシングメールを送信することができる。つまりパスワードリセットメールのみを警戒するのではなく、Instagramに関連するすべてのメールを警戒する必要がある。

Malwarebytesはこれら攻撃への対策として、二要素認証(2FA: Two-Factor Authentication)の有効化を推奨している。パスワードの流出が懸念されるユーザーに対しては、メール本文のリンクには触れず、公式アプリまたは公式Webサイトからパスワードを変更してほしいと呼びかけている。