セキュリティ

Instagramから1750万人分の個人情報がダークウェブに流出


Instagramでユーザー名・ユーザーの本名・住所・電話番号・メールアドレスが流出する事態が発生しています。影響範囲はおよそ1750万件に及びます。

Cybercriminals stole the sensitive information of 17.5 million Instagram accounts, including usernames, physical addresses, phone numbers, email addresses, and more.


This data is available for sale on the dark web and can be abused by cybercriminals.

[image or embed]

— Malwarebytes (@malwarebytes.com) 2026年1月10日 1:34


An Instagram data breach reportedly exposed the personal info of 17.5 million users
https://www.engadget.com/cybersecurity/an-instagram-data-breach-reportedly-exposed-the-personal-info-of-175-million-users-192105616.html

Instagram Breach 2026: 17.5 Million Accounts Exposed | The CyberSec Guru
https://thecybersecguru.com/news/instagram-data-breach-17-million/

セキュリティ企業・Malwarebytesの研究部門・Malwarebytes Labsによると、Instagramからアカウント1750万件の情報が盗まれ、ダークウェブで販売されているとのこと。

Malwarebytes Labsはダークウェブをスキャンしていて情報が販売されていることに気付いたそうです。すでに、パスワードリセットを試行した際に送られるメールが多くのユーザーのもとに届いていることが報告されています。

Instagramからの情報流出は2019年や2021年にも発生していますが、過去に流出した情報はメールアドレスやプロフィール欄のリンクなどに限られ、問題はあるものの深刻度はそれほど高くありませんでしたが、今回はInstagramのユーザーIDと位置情報データが紐付いた状態で流出したとみられており、セキュリティ専門家はリスクレベルを高く見積もっています。

また、住所が流出したことにより、ユーザー名と住所を組み合わせることで現実に危害が及ぶ可能性も指摘されています。

Malwarebytes Labsは、流出した情報に基づいてフィッシングやアカウント乗っ取りなどのさらなる攻撃が行われる可能性があるとして、MetaのアカウントセンターでInstagramに不審な端末がログインしていないかを確認するなどの対策を呼びかけています。

セキュリティ情報サイトのThe CyberSec Guruは、Metaによる正式な声明を待っていては遅いとして、合は自分の情報が流出したと想定して以下の4ステップを行うよう呼びかけています。

1:Instagramアプリのアカウントセンター経由でパスワードを変更する
パニックに陥ったユーザーを狙い撃ちするため、パスワードリセットを求めるメールに模したフィッシング詐欺が行われています。このため、メールのリンクはクリックせず、Instagramアプリ内のアカウントセンター経由でパスワードを変更してください。

2:Instagramから送信された最近のメールを確認する
アカウントセンターの「パスワードとセキュリティ」項目内に、Instagramが最近送信したメールのログが保存されています。「セキュリティ」タブにパスワードリセットしようとするメールがあれば、実際に何者かがパスワードを変更しようとしてブロックされたということを示します。なければ、メールボックスに届いたパスワードリセットを求めるメールはフィッシング詐欺なので削除してください。

3:アプリベースの二要素認証を使用するようにする
電話番号も流出しているため、SMS利用の二要素認証はもはや安全ではありません。アプリの「パスワードとセキュリティ」からGoogle AuthenticatorやDuoなどのアプリを用いた二要素認証を行うようにしてください。

4:サードパーティー製アプリの権限を削除する
今回のデータ侵害はAPIデータへの正当なアクセス権を持つサードパーティー製の分析アプリまたはフォロワー追跡機能から行われた可能性があるため、「ウェブサイトの権限」内の「アプリとウェブサイト」から、権限を与えた覚えのないアプリや使用しなくなったアプリを削除してください。

この記事のタイトルとURLをコピーする

・関連記事
韓国大手通販サイト「クーパン」から3000万件以上の個人情報が流出、外部からの攻撃ではなく内部犯による流出の可能性 - GIGAZINE

X(旧Twitter)に続きMetaもFacebook・Instagram・Threadsでトランプ陣営から流出した内部文書へのアクセスをブロック - GIGAZINE

個人情報が流出したかどうかをチェックできる「Have I Been Pwned?」が設立10周年を迎える - GIGAZINE

パスワード管理アプリ「LastPass」から盗まれたデータが仮想通貨の盗難に悪用されている可能性 - GIGAZINE

・関連コンテンツ

in ネットサービス,   セキュリティ, Posted by logc_nt

You can read the machine translated English article Personal information of 17.5 million peo….