2026年1月、Instagramから約1750万件のユーザー情報がダークウェブ(インターネット上の匿名性の高い領域で、違法な取引が行われることが多い場所)に流出したとの報道が相次いだ。
ウイルス対策ソフトなどを提供するセキュリティ企業「Malwarebytes(マルウェアバイト)」は1月上旬に、ダークウェブのフォーラムで「Solonik」という人物が、ユーザー名、本名、メールアドレス、電話番号、住所の一部などを含む約1750万件のデータを公開したと報告。
このデータは2024年にInstagramのAPI(外部プログラムがサービスを利用するための仕組み)で起きた可能性のある脆弱性に関連していると指摘されている。
この件とほぼ同時期に、世界中のInstagramユーザーから不審なパスワードリセットメールが大量に届く事態が発生。
メールはInstagram公式のものに見えるが、ユーザーが自分でリセットを依頼していないケースが多かったため、流出情報を使った攻撃の懸念が広がった形となる。
情報流出「証拠はない」
一方のInstagram運営会社「Meta Platforms(メタ・プラットフォームズ)」はこれを明確に否定している。
同社は2026年1月11日頃に公式声明を出し、「システムへの侵害は発生しておらず、ユーザーアカウントは安全である」と説明。
パスワードリセットメールの大量送信については、外部からリセットを大量に要求できる技術的な不具合があり、これを修正したものだと発表されている。
Metaは流出したとされるデータについて、過去の別事件の再利用や偽造の可能性を指摘し、今回の件でパスワードや重要な認証情報が新たに盗まれた証拠はないとしている。
複数の海外メディア(BleepingComputer、Engadgetなど)や日本の情報サイトでもこの騒動が取り上げられ、ユーザーへの注意喚起が続いている。
専門家は、たとえMetaが侵害を否定していても、念のためInstagramのパスワードを変更し、二段階認証(パスワードに加えてスマートフォンなどで追加確認を行うセキュリティ機能)を有効化することを推奨しており、不審なメールのリンクは絶対にクリックせず、アプリ内から直接設定を確認するよう呼びかけられている。
なお現時点で、Meta社側から具体的な被害件数や日本国内への影響に関する追加発表はない。
【参考記事】
https://www.brightdefense.com/news/instagram-breach/
https://www.pcmag.com/news/change-your-password-data-breach-may-have-impacted-175-million-instagram
https://www.linkedin.com/news/story/instagram-denies-data-breach-of-175m-accounts-7407137