2026年1月上旬、SNS「Instagram」を巡り、約1700万件を超えるユーザー情報が漏えいしたとする主張がハッカー系フォーラムやX(旧Twitter)上で拡散し、世界的に大きな注目を集めました。
発端となったのは、ハッカーによるデータ公開の主張と、セキュリティ企業Malwarebytesの注意喚起投稿です。一方、Instagramを運営するMeta(旧Facebook)は「システム侵害は確認されていない」としており、情報の出所や時期を巡って見解が大きく分かれています。
目次
ハッカーの主張
2026年1月7日、ダークウェブのハッカー系フォーラム「INSTAGRAM.COM 17M USERS — 2024 API LEAK」と題した投稿が確認されました。投稿者は「Solonik」と名乗る人物で、Instagramのユーザーデータ約1700万件以上を入手・公開したと主張しています。

投稿内容によると、流出データは以下のような情報を含むとされています。
-
ユーザーID
-
ユーザーネーム
-
氏名
-
メールアドレス
-
電話番号
-
国・一部地域情報
公開されたサンプルデータはJSON形式で、実在すると思われるアカウント情報が含まれており、データの真実性について一定の信憑性があるように見える点が、混乱を拡大させました。ハッカー側は、このデータが「2024年に発生したAPIの不備を突いた漏えい」であると主張しています。
MalwarebytesがXで注意喚起 「1700万件の情報が盗まれた」と投稿
騒動が拡大する大きなきっかけとなったのが、Malwarebytesの公式Xアカウントによる投稿です。同社は次のように警告しました。
「サイバー犯罪者が、ユーザー名、住所、電話番号、メールアドレスなどを含む1700万件以上のInstagramアカウント情報を盗み出した」
この投稿は、多くのユーザーやメディアに「Instagramで大規模な新規情報漏えいが発生した」と受け取られ、短時間で世界中に拡散しました。一部の利用者のもとには、身に覚えのないInstagramのパスワードリセットメールが届き始めたことも、不安を加速させる要因となりました。
Metaは「システム侵害なし」と明確に否定
これに対し、Instagramを運営するMetaは海外メディアの取材に対し、大規模なデータ侵害は発生していないと明確に否定しています。
Metaの説明によれば、今回確認されたのは以下の点です。
-
外部の第三者が、特定のユーザー名を用いてパスワードリセットメールを大量に送信できてしまう不具合が存在していた
-
当該不具合はすでに修正済み
-
Instagramの内部システムやデータベースが侵害された事実は確認されていない
-
アカウント自体の安全性は維持されている
Metaは「これらのリセットメールは無視して問題ない」とした上で、混乱を招いたことについて謝罪しています。
実態は「2022年のスクレイピングデータの再流通」の可能性が高い
複数のセキュリティ研究者や海外メディアの分析によると、今回出回っている約1,701万7,213件のデータ件数が、2023年に流出した古いデータと完全に一致していることが確認されています。
調査の結果、以下の経緯が浮かび上がっています。
-
データの原型は2022年に行われたAPIスクレイピングによって収集された可能性が高い
-
そのデータが2023年6月に別のフォーラムで流出
-
2026年になり、「2024年API漏えい」という形で再包装され、再投稿された
件数、データ構造、フィールド内容が過去の流出データと一致していることから、今回の事案は「新たな侵害」ではなく、古いデータの再流通である可能性が極めて高いと見られています。
パスワード流出はなし ただし二次被害のリスクは継続
今回拡散されたデータには、パスワードそのものは含まれていないことが確認されています。そのため、直ちにパスワード変更が必要な状況ではないとされています。
一方で、氏名、メールアドレス、電話番号などが含まれている場合、以下のような二次被害のリスクは否定できません。
-
InstagramやMetaを装ったフィッシングメール
-
SMSを使ったスミッシング(SMS詐欺)
-
個人情報を前提としたなりすまし・ソーシャルエンジニアリング攻撃
特に、今回の騒動に便乗し「セキュリティ確認」「緊急対応」などを装った詐欺が増加する可能性が指摘されています。
利用者に求められる対策
Instagram利用者に対しては、次のような対策が推奨されています。
-
身に覚えのないパスワードリセットメールやSMSは無視・削除する
-
メールやSMS内のリンクを直接クリックしない
-
他サービスで同じパスワードを使い回している場合は変更を検討する








