Instagramのインフルエンサー数百万人分の連絡先情報が流出

by Luke van Zyl

著名人の公式アカウントや企業アカウントを含む、Instagramのインフルエンサー数百万人分の連絡先情報を含むデータベースが、パスワードが設定されていない状態のままAmazon Web Services(AWS)上にホストされていたことが明らかになっています。記事作成時点でデータベース上には4900万件以上の個人情報が保存されているそうですが、その数は増え続けているとのことです。

Millions of Instagram influencers had their private contact data scraped and exposed | TechCrunch
https://techcrunch.com/2019/05/20/instagram-influencer-celebrity-accounts-scraped/

Instagramのインフルエンサーに関する個人情報が多数含まれたデータベースを発見したのは、セキュリティ研究者のAnurag Sen氏。同氏が発見したデータベースにはパスワードなどがかけられておらず、アクセスにさえ成功すれば自由にデータをダウンロードできるようになっていたそうです。この事態は、Sen氏がニュースサイト・TechCrunchに情報提供したことで明らかになりました。

Sen氏がデータベース内に保管されている情報を確認したところ、Instagramユーザーの経歴、プロフィール写真・フォロワー数、位置情報などのInstagramアカウントから知ることができる情報のほか、ユーザーのメールアドレスや電話番号といった連絡先情報も含まれていたそうです。

TechCrunchがデータベースについて調査したところ、ムンバイに拠点を置くソーシャルメディアマーケティング企業のChtrboxが浮かび上がってきたとのこと。ChtrboxはInstagramのインフルエンサーに、スポンサー企業の商品を自身のアカウントで宣伝してもらう、という広告活動を行っているマーケティング企業だそうです。データベース内に保存されている情報には、各インフルエンサーのフォロワー数、エンゲージメント率、リーチ率、投稿に対するお気に入り数やシェア数に基づいた、アカウントの価値を計算した情報も含まれていたとTechCrunchは記しています。これらの情報はChtrboxがInstagramのインフルエンサーに広告を投稿してもらう際に支払う金額を決めるための指標として使われていた模様。

by Gian Cescon

TechCrunchは「公開されたデータベースから、いくつかの注目すべきインフルエンサーの名前を見つけました。著名なフードブロガーや著名人、さらには他のソーシャルメディア上でのインフルエンサーなど」と記し、データベースの中にインフルエンサーの名前が含まれていたことを指摘。

さらに、データベースの中に保存されていた連絡先情報を用いて何人かにランダムで連絡を取り、データベースに保存されていた電話番号が正しいかどうかを確認したそうです。その中の2人のユーザーから連絡があり、データベースに保存されている電話番号およびメールアドレスは、Instagramアカウント作成時に入力したものと同じであることが確認されています。なお、連絡のあったインフルエンサーは、どちらもChtrboxと仕事をした経験はないとのこと。

TechCrunchがChtrboxに連絡したのち、AWS上で保管されていたデータベースは直ちにオフラインになったそうです。TechCrunchは「どうやってInstagramアカウントの電話番号やメールアドレスを入手したのか？」などの問い合わせをしたものの、本記事作成時点では返答は得られていないとのことです。

Chtrbox
https://www.chtrbox.com/

Instagramは2017年にAPIの欠陥からユーザーの連絡先情報を盗まれるという事態を経験しており、その後、ダークウェブ上で盗み出された600万件以上の連絡先情報が販売されていたことが明らかになっています。

Instagramから盗み出された600万件以上の連絡先情報は1件10ドルで販売されている - GIGAZINE

Chtrboxのデータベースに保存されている連絡先情報が、2017年にダークウェブ上で販売されたものが情報源になっているのかどうかは不明ですが、Instagramの親会社であるFacebookは「(Chtrboxのデータベースに)記述されていたデータ(メールアドレスや電話番号を含む)がInstagramのものか、それとも他の情報源からのものなのかを理解するために調査中です。また、我々はこのデータがどこから来たのか、そしてそれがどのように公に利用可能になったのかを理解するため、Chtrboxに問い合わせています」と述べています。