Instagram、データ漏洩の主張を否定しシステムへの侵入を否定
Instagramは、1,700万件以上のユーザーデータが流出したという主張を否定すると共に、脅威アクターが大量のパスワードリセットメールを要求できるバグを修正したと発表しました。Metaの広報担当者はBleepingComputerに対し、「システムへの侵入は一切なく、人々のInstagramアカウントは安全なままであることを再保証したい」と述べ、混乱を招いたことについて謝罪し、ユーザーには不審なパスワードリセットメールを無視するよう呼びかけています。
浮上するデータ流出の疑惑
このInstagramデータ流出疑惑は、Malwarebytesがサイバー犯罪者が1,750万件のアカウントからデータを盗み出し、ハッキングフォーラムで無料公開していると警告したことから始まりました。投稿者は、このデータが未確認の「2024年のInstagram APIリーク」を通じて収集されたものだと主張しています。
流出したとされる情報の詳細
公開されたデータには、合計で17,017,213件のInstagramアカウントのプロファイルが含まれており、その中には電話番号、ユーザー名、氏名、住所、メールアドレス、Instagram IDなどが含まれています。ただし、全てのレコードにこれらの情報が揃っているわけではなく、一部にはInstagram IDとユーザー名のみというものもあります。
過去の事案と現在の見解
X(旧Twitter)上のサイバーセキュリティ研究者たちは、このスクレイピングされたデータが2022年のAPIスクレイピング事件に由来すると主張していますが、これを裏付ける明確な証拠は提示されていません。Metaは、2022年または2024年のAPIに関するインシデントは認識していないと述べています。しかし、Instagramは過去に2017年のバグが悪用され、600万件のアカウントの個人情報がスクレイピングされ販売された事件がありました。今回漏洩したとされるデータが、2017年の漏洩と過去数年間の追加情報のコンパイルであるかどうかは不明です。
ユーザーへの推奨事項とセキュリティ対策
現時点では、今回の件が新たなInstagramデータ侵害であることを示す証拠はありません。Metaは新たな侵害や2022年、2024年のAPI侵害を認識しておらず、研究者も最近の脆弱性を通じてデータが取得されたという証拠を提示していません。むしろ、この情報は過去数年間に複数の情報源からスクレイピングされた情報の編集版である可能性が示唆されています。
良いニュースとして、この流出したデータにはパスワードは含まれていないため、変更する必要はありません。しかし、ユーザーはこれらの情報を悪用した標的型フィッシング、スミッシング(テキストフィッシング)、ソーシャルエンジニアリング攻撃に対して警戒を続ける必要があります。身に覚えのないInstagramのパスワードリセットメールやテキストコードが届いた場合は、単に無視して削除してください。二要素認証を有効にしていない場合は、セキュリティ強化のためにも強く推奨されます。