ウイルス対策ソフトウェアのMalwarebytesなどによると1750万件のInstagramアカウントの情報がダークウェブで販売されているということです。一方、Instagramは侵害を否定する投稿をSNSに行いました。
Malwarebytes「ダークウェブで販売されている」
Malwarebytesは、Instagramのパスワードをリセットするように求める電子メールやメッセージが届いても、それらはハッカーによって送信された可能性があるとして注意するように呼びかけています。心配な場合は、Instagramアカウントにサイインをして強力なパスワードにリセットすることや二要素認証を有効にすることをすすめています。
一方、Instagramは「私たちは、外部の第三者がパスワードリセットメールをリクエストできる問題を修正しました。私たちのシステムに侵害はなく、あなたのInstagramアカウントは安全です」「そのメールは無視してください―混乱を招いてしまい、申し訳ありません」とした投稿を簡易投稿サイトXに投稿しました。
ネット情報によると、このデータはSolonikと称する名前で活動する脅威アクターによってハッキングフォーラムに投稿され、JSONとTXTファイル形式で1750万件のデータが含まれていると見られているということです。ネット情報によると、これらデータはInstagramのサーバーに侵入して窃取されたものではなく、公開インターフェイスを介して自動的にデータを収集するスクレイピングによるものとみられています。
Malwarebytesはユーザー名、住所、電話番号、メールアドレスなど1750万件としていますが、メールアドレスは620万件に含まれており、さらに一部に電話番号の情報が含まれているようです。パスワードは含まれていないとみられていますが、メールアドレスや電話番号が含まれていることからSIMスワッピングやソーシャルエンジニアリングに悪用される恐れがあるということです。
2024年にAPIリークで漏えいしたデータ?
これらデータは2024年後半に「APIリーク」によって世界中から集められたデータとみられています。APIリークは、異なるソフトウェアシステム間で通信してデータを共有する仕組みであるアプリケーションプログラミングインターフェイス(API)の認証情報が誤って秘匿されず、その結果、機密データが窃取されたり攻撃者がAPIを介して内部ネットワークに侵入するなどされるものです。2024年には多くのAPIリークがあり、The Registerの記事によると今回、Instagramのデータが投稿されたのはデータ漏えいサイトBreach Forumsで、それらデータについて投稿者は2024年に検出されたAPIリークによるものだと主張しているということです。
今回、パスワードリセットのメールが多く送信されたこととAPIリークによるとみられるInstagramのアカウントデータがダークウェブに流出していたことと直接、関係があるのか否か不明ですが、いずれにしても普段から強固なパスワードを使用し二要素認証を有効にするなどセキャリティを意識した利用を心掛け、不審なメールやSMSには反応しないで、正規の方法でアクセスして情報を得ることが重要です。
【出典】
https://x.com/instagram/status/2010202301886238822
https://cyberpress.org/instagram-data-leak/
https://www.theregister.com/2026/01/11/infosec_news_in_brief/