Instagram(インスタグラム)の非公開写真が漏洩か-研究者が脆弱性を指摘|セキュリティとITのニュース-セキュリティ対策Lab

セキュリティニュース

投稿日時: 2026年02月02日更新日時: 2026年02月02日

Instagramの「非公開（Private）アカウント」は、承認したフォロワー以外に投稿（写真・動画・キャプション等）を見せない設計でが

2026年1月末、セキュリティ研究者のJatin Banga氏が

「一部の非公開プロフィールに限り、未ログイン（非認証）の閲覧でも非公開投稿のCDNリンクがサーバ応答に含まれていた」ことを示す証拠を公開しました。

研究者によれば、画面上は「このアカウントは非公開」表示のままでも、HTMLソース内に埋め込まれたJSONデータに、非公開投稿へ到達可能なリンクやキャプションが含まれるケースがあったとされています。

研究者は2025年10月にMetaへ報告し、その後まもなく挙動が停止（修正された可能性）した一方で、当時の運営側の取り扱いは「再現できない／Not Applicable（該当せず）」としてクローズされた、と説明されています。

1 何が閲覧できてしまったのか
2 影響範囲と条件付き漏えい
3 公開された証拠と検証可能性
4 タイムライン

何が閲覧できてしまったのか

研究者の主張の核は「非公開プロフィールのページ応答に、権限チェックを通っていないはずのタイムライン情報が混入していた」という点です。

具体的には、特定条件下で返るHTMLレスポンス内のJSONオブジェクト（polaris_timeline_connection）に、非公開投稿のメディア（画像）へ到達できるCDNリンクが含まれていたとされています。

この種の漏えいは、ブラウザ上のUI制御（「見えないように表示する」）ではなく、サーバ側の認可（Authorization）制御の問題になり得ます。

その為「見せない表示」ではなく「返さない応答」が守られていない場合、HTMLソースや通信ログからリンクとして露出し、ダウンロードや再共有の足掛かりになり得ます。

研究者自身も「CDNキャッシュの偶発ではなく、バックエンドが未認証に対してデータを生成して返していた」旨を繰り返し主張しています。

影響範囲と条件付き漏えい

研究者の検証ではすべての非公開アカウント一様に影響を受けたわけではありません。

本人が許可を得てテストした範囲では、一部のみが該当し、一定割合で漏えいが観測されたと説明されています。

許諾を得たテスト用の非公開アカウントのうち約28%で、キャプションや非公開写真リンクが返ったとされています。

全件に発生する大規模障害なら早期に露見しやすい一方で、特定の端末条件・リクエスト形態・アカウント属性の組み合わせでだけ起きる場合、当事者が「自分は大丈夫」と思い込みやすく、事後検証でも再現が困難になります。

研究者は、問題が発生する状態に入るとプロフィール統計（フォロワー/フォロー等）が不自然な値として返る、といった挙動差も示しつつ、原因究明のためのログ提供も申し出たものの、十分な根本原因分析が得られなかったと述べています。

公開された証拠と検証可能性

研究者は、GitHub上で、タイムライン、サンプルレスポンス、コミュニケーション記録、検証用データの所在を整理しています。さらにMedium上の記事では、未認証でも非公開投稿のCDNリンクが得られること、報告後短期間で挙動が止まったこと、しかしケースが「再現不可」と扱われたことへの問題提起が中心テーマになっています。

Metaは研究者の報告を受け取ってから48時間以内に、静かにパッチを当てその後、私のケースは「該当なし」としてクローズ。

研究者は「私が報告した通りの修正が行われたにもかかわらず、バグはそもそも存在しなかったと公式に主張したのです。」としています。