Instagramプライベートプロフィールからの写真流出が発覚
セキュリティ研究者が、一部のInstagramプライベートプロフィールにおいて、未認証の訪問者に対してもユーザー写真へのリンクが返されていた詳細な証拠を公開しました。Instagramのプライベートアカウント機能は、写真、ビデオ、ストーリー、リールを承認済みフォロワーに限定するように設計されています。しかし、この研究者の発見によれば、特定の場合において、プライベートプロフィールのコンテンツが公開されているサーバー応答に埋め込まれていたとのことです。
研究者によると、Metaは彼の報告提出後にこの問題を修正しましたが、その後「適用外」としてクローズし、脆弱性は再現できなかったと述べています。
脆弱性の詳細:HTML応答ボディからプライベート写真リンクが漏洩
セキュリティ研究者のJatin Banga氏は、特定のInstagramプライベートプロフィールが、アカウント内のプライベート写真へのリンクをHTML応答ボディ自体から漏洩させていたことを最近実証しました。特定のモバイルデバイスから未認証のユーザーがアクセスすると、プライベートInstagramプロフィール(Banga氏が作成した https://instagram.com/jatin.py など)は、「このアカウントは非公開です。写真や動画を見るにはフォローしてください。」という標準メッセージを表示します。
しかし、影響を受けたプロフィールのHTMLソースコードには、アクセスされるべきではないプライベート写真へのリンクがページ応答に埋め込まれていました。Banga氏の例では、HTMLで返された polaris_timeline_connection JSONオブジェクトに、アクセス不可能であるべき写真へのエンコードされたCDNリンクが含まれていました。
Banga氏は、自身が作成した、または明示的な許可を得たプライベートテストプロフィールに限定して正式なテストを行った結果、少なくとも28%のプロフィールがプライベート写真へのリンクを返していたことを発見しました。
Metaの対応と研究者の反論:根本原因の特定は不十分か
研究者は、自身の発見を2025年10月12日という早い段階でInstagramの親会社であるMetaと共有したと述べています。Metaは当初、この問題をCDNキャッシュの問題として分類しましたが、研究者はこれに異議を唱えました。Banga氏は、「これはCDNキャッシュの問題ではありませんでした。Instagramのバックエンドが応答を生成する前に認証をチェックしていなかったのです」と述べ、これをサーバーサイドの認証不備であると説明しています。
Banga氏は問題を明確にするために2度目のバグレポートを作成しましたが、数日間にわたる議論にもかかわらず、Metaと満足のいく解決には至りませんでした。研究者によると、度重なるやり取りの後、このケースは「適用外」としてクローズされましたが、エクスプロイトは10月16日頃には機能しなくなっていたとのことです。
彼は続けて、「標準的な協調的開示期間は90日間です。私はMetaに102日間与え、複数回のエスカレーションを試みました。テストしたすべてのアカウントでエクスプロイトは機能しなくなりましたが、Metaからの根本原因分析がないため、根本的な問題が本当に解決されたかどうかは確認できません」と述べています。
公開されたやり取りの中で、Metaの脆弱性トリアージアナリストは、「再現不可能な問題が修正されたという事実は、当時再現可能でなかったという事実を変えるものではありません。たとえ問題が再現可能であったとしても、別の問題を修正するために変更が加えられ、この問題が意図しない副作用として修正された可能性もあります」と記しています。
研究者の真意:報奨金ではなく透明性の追求
Banga氏はBleepingComputerに対し、メールで「私は報奨金を求めているわけではありません。この開示を公にすることで、報酬を得る機会は失いました」と語りました。「目標は透明性です。Metaは私の報告から48〜96時間後に重大なプライバシー漏洩を修正しましたが、それを認めず、『意図しない副作用』として却下しました。ログがあるにもかかわらず、実際の根本原因を調査することに対する彼らの怠慢と消極性が真の問題です。」
彼はさらに、「発見がそれほど難しくなかったことを考えると、これが実際にどれくらいの期間悪用されていたかは誰にもわかりません」と指摘しています。