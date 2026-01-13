2026年01月13日 11時56分 セキュリティ

Instagramが1750万人分の個人情報流出報道についてデータ侵害の被害を否定



2026年1月10日にセキュリティ企業のMalwarebytesが「Instagramから1750万人分の個人情報が盗まれてダークウェブ上で販売されている」という調査結果を発表しました。その後、2026年1月11日にInstagramが「システムへの侵害は受けていない」と発表しましたが、ダークウェブ上では実際に約620万件のメールアドレスやy交う350万件の電話番号を含む個人情報が販売されています。



Received an Instagram password reset email? Here’s what you need to know | Malwarebytes

https://www.malwarebytes.com/blog/news/2026/01/received-an-instagram-password-reset-email-heres-what-you-need-to-know



Instagram denies breach amid claims of 17 million account data leak

https://www.bleepingcomputer.com/news/security/instagram-denies-breach-amid-claims-of-17-million-account-data-leak/



Malwarebytesがダークウェブ上で発見した投稿が以下。投稿者はInstagramから流出した情報として1700万件以上の個人情報を販売しています。海外メディアのBleepingComputerによると、販売されているデータには合計1701万7213件の個人情報が含まれているとのこと。内訳は「ID：1701万5503件」「ユーザー名：1655万3662件」「メールアドレス：623万3162件」「電話番号：349万4383件」「名前：1241万8006件」「住所：133万5727件」です。





また、ダークウェブ上で個人情報が販売され始めたのと同時期に多数のユーザーに対してInstagramのパスワードリセットに関するメールが届きました。





Instagramは2026年1月11日に「第三者がパスワードリセットメールを要求できてしまう問題を修正しました。Instagramのシステムに侵害は確認されず、ユーザーのアカウントは安全です」と投稿し、パスワードリセットメールの送信がメールアドレスの流出に起因するものではないことを強調しています。



We fixed an issue that let an external party request password reset emails for some people. There was no breach of our systems and your Instagram accounts are secure.



You can ignore those emails — sorry for any confusion. — Instagram (@instagram) January 11, 2026



Malwarebytesの詐欺およびAI研究担当グローバルヘッドを務めるShahak Shalev氏は「Instagramから流出したとされるデータには、過去に流出したデータも含まれており、複数の流出データの集積物だという兆候がいくつかあります。また、パスワードリセットメールの送信がデータ販売開始の数日前から始まっていたことを踏まえると、データが販売開始前からプライベートグループで流通していた可能性があります」と指摘。さらに別の可能性として「(データ販売とは別に)悪意ある人物がInstagramへの攻撃を試みており、Instagramはその攻撃に言及しているのかもしれない」とも言及しています。



また、自分のアカウント情報が流出したかを確認できるウェブサイト「Have I Been Pwned?」の管理人であるTroy Hunt氏は、今回の流出データのうち500件を2019年の流出データと照らし合わせた結果、500件すべてが2019年の流出データに含まれていたことを報告しています。



But what about that 100%? Well, that's the joy of having such a large corpus of data to cross-reference in a scraping incident like this. I checked 500 email addresses from this data, and literally 100% of them were in the PDL breach: https://t.co/9WUHkH0YJd — Troy Hunt (@troyhunt) January 11, 2026



なお、Have I Been Pwned?のデータベースには今回の騒動で販売されているメールアドレスが既に登録されています。

