Instagram(インスタグラム)、サイバー攻撃で1700万件超の個人情報漏洩の恐れ-Metaは侵害を否定

セキュリティニュース

投稿日時: 更新日時:

Instagram(インスタグラム)、サイバー攻撃で1700万件超の個人情報漏洩の恐れ-Metaは侵害を否定

2026年1月上旬、SNS「Instagram」を巡り、約1700万件を超えるユーザー情報が漏えいしたとする主張がハッカー系フォーラムやX(旧Twitter)上で拡散し、世界的に大きな注目を集めました。

発端となったのは、ハッカーによるデータ公開の主張と、セキュリティ企業Malwarebytesの注意喚起投稿です。一方、Instagramを運営するMeta(旧Facebook)は「システム侵害は確認されていない」としており、情報の出所や時期を巡って見解が大きく分かれています。

ハッカーの主張

2026年1月7日、ダークウェブのハッカー系フォーラム「INSTAGRAM.COM 17M USERS — 2024 API LEAK」と題した投稿が確認されました。投稿者は「Solonik」と名乗る人物で、Instagramのユーザーデータ約1700万件以上を入手・公開したと主張しています。

投稿内容によると、流出データは以下のような情報を含むとされています。

  • ユーザーID

  • ユーザーネーム

  • 氏名

  • メールアドレス

  • 電話番号

  • 国・一部地域情報

公開されたサンプルデータはJSON形式で、実在すると思われるアカウント情報が含まれており、データの真実性について一定の信憑性があるように見える点が、混乱を拡大させました。ハッカー側は、このデータが「2024年に発生したAPIの不備を突いた漏えい」であると主張しています。

MalwarebytesがXで注意喚起 「1700万件の情報が盗まれた」と投稿

騒動が拡大する大きなきっかけとなったのが、Malwarebytesの公式Xアカウントによる投稿です。同社は次のように警告しました。

「サイバー犯罪者が、ユーザー名、住所、電話番号、メールアドレスなどを含む1700万件以上のInstagramアカウント情報を盗み出した」

この投稿は、多くのユーザーやメディアに「Instagramで大規模な新規情報漏えいが発生した」と受け取られ、短時間で世界中に拡散しました。一部の利用者のもとには、身に覚えのないInstagramのパスワードリセットメールが届き始めたことも、不安を加速させる要因となりました。

Metaは「システム侵害なし」と明確に否定

これに対し、Instagramを運営するMetaは海外メディアの取材に対し、大規模なデータ侵害は発生していないと明確に否定しています。

Metaの説明によれば、今回確認されたのは以下の点です。

  • 外部の第三者が、特定のユーザー名を用いてパスワードリセットメールを大量に送信できてしまう不具合が存在していた

  • 当該不具合はすでに修正済み

  • Instagramの内部システムやデータベースが侵害された事実は確認されていない

  • アカウント自体の安全性は維持されている

Metaは「これらのリセットメールは無視して問題ない」とした上で、混乱を招いたことについて謝罪しています。

実態は「2022年のスクレイピングデータの再流通」の可能性が高い

複数のセキュリティ研究者や海外メディアの分析によると、今回出回っている約1,701万7,213件のデータ件数が、2023年に流出した古いデータと完全に一致していることが確認されています。

調査の結果、以下の経緯が浮かび上がっています。

  • データの原型は2022年に行われたAPIスクレイピングによって収集された可能性が高い

  • そのデータが2023年6月に別のフォーラムで流出

  • 2026年になり、「2024年API漏えい」という形で再包装され、再投稿された

件数、データ構造、フィールド内容が過去の流出データと一致していることから、今回の事案は「新たな侵害」ではなく、古いデータの再流通である可能性が極めて高いと見られています。

パスワード流出はなし ただし二次被害のリスクは継続

今回拡散されたデータには、パスワードそのものは含まれていないことが確認されています。そのため、直ちにパスワード変更が必要な状況ではないとされています。

一方で、氏名、メールアドレス、電話番号などが含まれている場合、以下のような二次被害のリスクは否定できません。

特に、今回の騒動に便乗し「セキュリティ確認」「緊急対応」などを装った詐欺が増加する可能性が指摘されています。

利用者に求められる対策

Instagram利用者に対しては、次のような対策が推奨されています。

  • 身に覚えのないパスワードリセットメールやSMSは無視・削除する

  • メールやSMS内のリンクを直接クリックしない

  • 二要素認証(2FA)を有効化する

  • 他サービスで同じパスワードを使い回している場合は変更を検討する