Instagramが1750万人分の個人情報流出報道についてデータ侵害の被害を否定

2026年1月10日にセキュリティ企業のMalwarebytesが「Instagramから1750万人分の個人情報が盗まれてダークウェブ上で販売されている」という調査結果を発表しました。その後、2026年1月11日にInstagramが「システムへの侵害は受けていない」と発表しましたが、ダークウェブ上では実際に約620万件のメールアドレスやy交う350万件の電話番号を含む個人情報が販売されています。

Received an Instagram password reset email? Here’s what you need to know | Malwarebytes
https://www.malwarebytes.com/blog/news/2026/01/received-an-instagram-password-reset-email-heres-what-you-need-to-know

Instagram denies breach amid claims of 17 million account data leak
https://www.bleepingcomputer.com/news/security/instagram-denies-breach-amid-claims-of-17-million-account-data-leak/

Malwarebytesがダークウェブ上で発見した投稿が以下。投稿者はInstagramから流出した情報として1700万件以上の個人情報を販売しています。海外メディアのBleepingComputerによると、販売されているデータには合計1701万7213件の個人情報が含まれているとのこと。内訳は「ID：1701万5503件」「ユーザー名：1655万3662件」「メールアドレス：623万3162件」「電話番号：349万4383件」「名前：1241万8006件」「住所：133万5727件」です。

また、ダークウェブ上で個人情報が販売され始めたのと同時期に多数のユーザーに対してInstagramのパスワードリセットに関するメールが届きました。

Instagramは2026年1月11日に「第三者がパスワードリセットメールを要求できてしまう問題を修正しました。Instagramのシステムに侵害は確認されず、ユーザーのアカウントは安全です」と投稿し、パスワードリセットメールの送信がメールアドレスの流出に起因するものではないことを強調しています。

Malwarebytesの詐欺およびAI研究担当グローバルヘッドを務めるShahak Shalev氏は「Instagramから流出したとされるデータには、過去に流出したデータも含まれており、複数の流出データの集積物だという兆候がいくつかあります。また、パスワードリセットメールの送信がデータ販売開始の数日前から始まっていたことを踏まえると、データが販売開始前からプライベートグループで流通していた可能性があります」と指摘。さらに別の可能性として「(データ販売とは別に)悪意ある人物がInstagramへの攻撃を試みており、Instagramはその攻撃に言及しているのかもしれない」とも言及しています。

また、自分のアカウント情報が流出したかを確認できるウェブサイト「Have I Been Pwned?」の管理人であるTroy Hunt氏は、今回の流出データのうち500件を2019年の流出データと照らし合わせた結果、500件すべてが2019年の流出データに含まれていたことを報告しています。

なお、Have I Been Pwned?のデータベースには今回の騒動で販売されているメールアドレスが既に登録されています。