概要：Instagramのプライベートコンテンツが露出の危機に

Instagramのモバイルウェブインターフェースに、認証なしでプライベートアカウントの投稿にアクセスできるサーバーサイドの脆弱性が報告されました。この問題は、ユーザーのプライバシー保護に対するMetaの脆弱性開示対応と補償制御の有効性について懸念を提起しています。セキュリティ研究者Jatin Banga氏がこの脆弱性を発見し、Metaに報告しましたが、その後のMetaの対応には疑問が残る結果となりました。

技術的詳細：認証不要でプライベート写真が流出

報告された脆弱性は、認証やフォロワー関係を必要とせず、誰でも悪用できるものでした。具体的には、特定のモバイルヘッダーを含む認証されていないGETリクエストをinstagram.com/<プライベートユーザー名>に送信することで、悪用が可能でした。サーバーは、埋め込まれたJSONデータ構造（特にpolaris_timeline_connectionオブジェクト）を含むHTMLで応答し、これにはフル解像度のプライベート写真のCDNリンク、キャプション、その他の制限されたコンテンツが含まれていました。

研究者はこれをCDNキャッシュの問題ではなく、サーバーサイドの認可エラーとして特徴づけました。テストの結果、調査対象のアカウントの約28%がこの脆弱性の影響を受けたとされていますが、実際の悪用率はさらに高い可能性も指摘されています。

Metaの対応と研究者の懸念

Jatin Banga氏は2025年10月12日にMetaのバグバウンティプログラムに初期レポートを提出しましたが、Metaは当初これをCDNキャッシュの問題と誤分類し、ケースをクローズしました。同日に提出された2回目のレポートと詳細な技術的証拠の提示により、Metaは調査を開始。わずか4日後の10月16日には脆弱性が修正されたことを示すように、以前脆弱だったすべてのアカウントで機能しなくなりました。

しかし、Metaは修正を明示的に確認したり、脆弱性の存在を認めたりすることはありませんでした。10月27日、Metaは公式に「この問題を再現できません」と回答し、修正は無関係なインフラ変更による偶発的な結果であると説明しました。

研究者は、タイムスタンプ付きのビデオ証拠、概念実証スクリプト、前後のスクリーンショット、ネットワークログ、Metaとのすべてのやり取りなど、すべての証拠を暗号学的整合性検証付きでGitHubにコミットし、事後的な改ざんを防ぎました。研究者はMetaの対応について以下の3つの主要な懸念を提起しています。

• Metaがデバッグデータ（X-FB-Debugヘッダー）の提供を拒否したこと。
• 比較アカウント分析データセットを拒否し、脆弱性の条件付き性質を理解しようとしなかったこと。
• 永続的な修正を確認するための目に見える根本原因分析を実施しなかったこと。

研究者は、標準の90日を超過する102日間の調整された開示試行の後、この脆弱性を公に開示しました。Instagramは10億人以上のユーザーにサービスを提供しており、そのアカウントプライバシーはバックエンドの認可強制に依存しています。このような条件付きの脆弱性は、予測不能なアカウント群に影響を与えるため、普遍的なエクスプロイトよりも特に危険であると警告しています。

元記事: https://gbhackers.com/instagram-investigates-reported-vulnerability/