Instagramプライバシー問題が浮上
セキュリティ研究者のジャティン・バンガ氏が、Instagramのプライベートアカウントに設定された写真が、認証されていない訪問者に対してもリンクが漏洩していたとする詳細な証拠を公開しました。通常、Instagramの非公開アカウント機能は、写真、動画、ストーリーズ、リールを承認されたフォロワーのみに制限することを目的としています。しかし、バンガ氏の調査結果は、特定のケースにおいて、非公開プロフィールコンテンツが公にアクセス可能なサーバー応答に埋め込まれていたことを示しています。
脆弱性の詳細:非公開写真がHTMLソースに露出
バンガ氏は、認証されていないユーザーが特定のモバイルデバイスから非公開のInstagramプロフィールにアクセスした際、「このアカウントは非公開です。フォローして写真や動画をご覧ください。」という標準メッセージが表示されるにもかかわらず、そのHTMLソースコード内に非公開の写真へのリンクとキャプションが埋め込まれていることを発見しました。具体的には、HTML内で返されるpolaris_timeline_connectionというJSONオブジェクトに、アクセスされるべきではないエンコードされたCDNリンクが含まれていたとのことです。
バンガ氏が共有した概念実証(PoC)ビデオでは、このデータ漏洩の脆弱性が実演されています。バンガ氏自身が作成または明示的な許可を得たプライベートテストプロフィールに限定して正式なテストを行った結果、これらのアカウントの少なくとも28%でキャプションと非公開写真へのリンクが返されていたことが判明しました。
Metaの対応と研究者の主張
バンガ氏は、2025年10月12日という早い段階でこの調査結果をInstagramの親会社であるMetaに報告したと述べています。Metaは当初、この問題をCDNのキャッシング問題であると分類しましたが、バンガ氏はこの見解に異議を唱え、これを「Instagramのバックエンドが応答を生成する前に認証チェックを怠った」ことによるサーバーサイドの認証不具合であると説明しました。
バンガ氏は問題点を明確にするため、2度目のバグ報告を提出しましたが、数日間にわたる長い議論にもかかわらず、Metaとの間で満足のいく解決には至りませんでした。研究者によると、度重なるやり取りの後、このケースは「適用外」としてクローズされましたが、2025年10月16日頃にはエクスプロイトは機能しなくなったとのことです。
バンガ氏は次のように述べています。「標準的な協調的開示期間は90日です。私はMetaに102日間を与え、複数回のエスカレーションを試みました。エクスプロイトはテストしたすべてのアカウントで機能しなくなりましたが、Metaからの根本原因分析がないため、根本的な問題が本当に解決されたかどうかは確認できません。」
研究者の動機と背景
バンガ氏は、金銭的な報奨を目的としていないことを強調しています。「この開示を公表することで、私は報奨の機会をすべて放棄しました。」とBleepingComputerにメールで語りました。彼の目標は透明性です。「Metaは私の報告から48~96時間後に重要なプライバシー漏洩を修正したにもかかわらず、それを認めようとせず、『意図しない副次的効果』として片付けました。ログがあるにもかかわらず、実際の根本原因を調査しようとしない彼らの怠慢と消極的な姿勢こそが本当の問題です。」と付け加えました。
Metaは、この問題についてBleepingComputerからのコメント要請に3度応じていません。
結論:プライバシー保護の課題
今回の件は、ユーザーのプライバシー保護における企業の責任と、セキュリティ研究者との透明性のある対話の重要性を改めて浮き彫りにしました。非公開設定が施されたコンテンツが意図せず露出する可能性は、ユーザーの信頼を損なうだけでなく、重大なセキュリティリスクをはらんでいます。