概要:Instagramデータ侵害の発生
1750万人ものInstagramユーザーの個人情報がデータ侵害によって流出し、ダークウェブのマーケットプレイスで販売されているという衝撃的なサイバーセキュリティ事件が明るみに出ました。サイバーセキュリティ企業MalwarebytesはX(旧Twitter)を通じてこの件を公表し、ユーザー名、メールアドレス、電話番号、部分的な位置情報を含む盗まれたデータが販売されていることから、情報漏洩の深刻さを確認しました。影響を受けたユーザーからは、正当なInstagramのパスワードリセット通知を受け取ったとの報告もあり、これは現在進行中の悪用を示唆しています。
漏洩の詳細:ダークウェブでの販売と経緯
ダークウェブの掲載情報(公開されたスクリーンショット)には、「Instagram.com 1B Users – 2024 Leak」と題されたデータセットが示されていますが、実際には2024年後半に世界中でスクレイピングされた1750万件の記録が含まれています。販売者「Subkek」は、このデータが過去3ヶ月間にわたって公開APIや国別の情報源を利用して新たに収集されたものであり、ユーザー名、完全なメールアドレス、電話番号、部分的な物理的住所が含まれていると主張しています。公開されたサンプル記録の画像では、「ユーザー名、メール、電話番号」といった項目が2024年11月のタイムスタンプと共に明示されており、詳細の信憑性が確認されました。
このスクレイピング手法は、従来のハッキングとは異なり、Instagramの公開プロフィールやAPIを悪用して直接的なシステム侵入なしに連絡先情報を大量に収集するものです。そのグローバルな範囲はリスクを高め、サイバー犯罪者が地域を越えてユーザーを標的にしたフィッシングや個人情報盗難の計画を実行する可能性があります。
漏洩した個人情報の詳細とリスク
侵害された情報は、1750万アカウントそれぞれにとって危険なプロフィールを形成します。以下の情報が流出しています。
- ユーザー名:一意のInstagramアカウント名。リスクレベル:高
- メールアドレス:完全なメールアドレス。リスクレベル:極めて高
- 電話番号:直接の連絡先電話番号。リスクレベル:極めて高
- 位置情報:部分的な住所/国。リスクレベル:高
これらの情報の組み合わせは、SIMスワッピングやクレデンシャルスタッフィングといった高度な攻撃を可能にし、流出したメールアドレスや電話番号が悪用されてアカウントが乗っ取られる恐れがあります。BreachForumsのようなプラットフォームでの販売にとどまらず、今回の漏洩は即座の脅威を引き起こしています。Malwarebytesは、ユーザーがパスワードリセットメールを受け取っていることに注目しており、これは脆弱なセキュリティ対策に乗じてアカウントを乗っ取る戦術です。パスワードが盗まれたという証拠はありませんが、過去の漏洩と組み合わせることで、このデータは脆弱性を増幅させます。
ユーザーが取るべき保護対策
被害を軽減するためには、迅速な行動が求められます。
- Instagramで二段階認証(2FA)を直ちに有効にしてください。
- 強力でユニークな新しいパスワードに変更し、「Have I Been Pwned」などで自身の情報が漏洩していないか確認してください。
- 不審な活動がないかメールや電話を監視し、未承諾のリンクはクリックしないでください。
- アプリの権限とログイン履歴を確認し、異常がないか調べましょう。
企業は、流出したデータが企業スパイ活動に利用される可能性があるため、従業員のアカウントをスキャンすべきです。今回の侵害は、オンラインでのプライバシー重視の習慣の必要性を改めて強調しており、専門家はMetaに対し、より厳格なAPI管理を求めています。
今後の課題と専門家の見解
Meta(Instagramの親会社)は、2026年1月10日現在、公式声明を発表しておらず、ユーザーは不安定な状況に置かれています。サイバーセキュリティの専門家は、今回のスクレイピングが非侵襲的であったため検出を回避できたのではないかと推測しており、APIセキュリティのギャップが浮き彫りになりました。2026年の脅威の状況において、警戒が引き続き重要となります。