2026年6月6日、Instagramのウェブ版パスワードリセット機能にロジックバグが見つかり、本来マスクされるはずのメールアドレスと電話番号がマスクなしで露出した。影響を受けたアカウントには、Meta CEOのマーク・ザッカーバーグやモデルのジョージナ・ロドリゲスのものも含まれた。
任意のユーザー名でリセットを実行すると、完全に判読できる連絡先が返る状態だった。@vxunderground などが概念実証のスクリーンショットを共有し、SNS上で拡散した。研究者の@Scot0xoは、これがAPI漏洩やサーバー侵害ではなくウェブリセットフローのロジックバグだとXで指摘した。
親会社Metaは公表から数時間以内に緊急ホットフィックスを適用し、システムへの侵害はなかったとした。1月にも類似のリセット悪用が起き、1,750万件のユーザー記録流出疑惑と同時期だった。
本稿公開時点でCVE識別子は付与されていない。
From: 
Instagram Fixes Password Reset Flaw That Exposes User Emails and Phone Numbers
【編集部解説】
なぜ今、私がこの一件を取り上げるのか。理由は単純です。今回露わになったのは「天才ハッカーの華麗な侵入劇」ではなく、ごく当たり前の機能の、ごく単純な作り込みミスだからです。パスワードを忘れたときに誰もが使う、あの再設定画面。その地味な入り口こそが、私たちの個人情報の最前線だったという事実を、この事案は突きつけています。
技術的な中身は、専門用語を外せばさほど難しくありません。再設定画面は本来、復旧先の連絡先を「m***@fb.com」のように一部だけ見せ、残りを伏せる設計になっています。ところが今回は、その伏せる処理が抜け落ち、完全な形のメールアドレスと電話番号がそのまま返ってきてしまった、というわけです。鍵の在りかを隠すべきカーテンが、一瞬だけ開いていた、と言い換えてもよいでしょう。
ここで一点、報道の温度差にも触れておきます。発端となったCyber Security Newsは「マスクされていない連絡先が完全に露出した」と報じています。一方でSecurity Boulevardが配信したCISO Whispererの分析は、より慎重です。完全な電話番号やパスワードが直接抜き取られた証拠はなく、本質は「特定の番号がそのアカウントに登録されているかを確認できてしまう」アカウント列挙(account enumeration)の問題ではないか、と整理しています。どちらが真実に近いかは、現時点では断定できません。続報を待ちたいところですが、過度に煽らず両論を併記しておくことが、いまは誠実だと考えます。
露出の度合いがどちらであれ、リスクの方向性は共通しています。メールアドレスと電話番号がひとたび攻撃者の手に渡れば、本人になりすます「SIMスワップ」、精巧な偽メールで誘導する「フィッシング」、複数サービスをまたいで標的の素性を地図化する手口へと、いくらでも応用が利くのです。Meta自身は大規模なデータ持ち出しはなかったと説明していますが、たとえ短時間の露出でも危険は残ります。
そして見逃せないのが、これが単発の事故ではないという構図です。今年1月にも類似のリセット悪用が起き、セキュリティ企業のMalwarebytesがダークウェブで1,750万件のユーザー記録が流出したと主張しました。一方でMetaはシステム侵害を否定しており、見解は分かれています。ただし、この1月のデータは過去に収集されたものとの見方もあり、新たな侵害と確定したわけではありません。さらに6月初旬には、MetaのAIサポートボットがプロンプトインジェクションで悪用され、著名アカウントが乗っ取られる別件も発生しました。単発の事故ではなく、つながりのある一連の流れとして捉えるべきでしょう。
研究者の間では、こうした連鎖の一因として「機微なアカウント機能をAIで自動化する」という設計判断を指摘する声が上がっています。堅牢な本人確認を欠いたままAIに復旧の特権を握らせれば、構造的な弱点になりかねない、という警鐘です。便利さと安全性のトレードオフが、いま現実の問題として表面化していると言えるでしょう。
規制の観点では、GDPR第25条が定める「プライバシー・バイ・デザイン」、すなわち設計段階から個人情報を守る義務との整合性が論点になります。本稿時点でCVE識別子は付与されていませんが、欧州の監督当局がどう動くかは注視に値します。日本の読者にとっても、これは対岸の火事ではありません。改正個人情報保護法のもとで、国内サービスの「復旧フロー」が同じ陥穽を抱えていないかを問い直す好機だからです。
長期的に見れば、今回の教訓は「認証(ログインの強さ)だけを守っても足りない」という一点に尽きます。守るべき境界線は、パスワードの先にある本人確認と復旧の仕組みそのものへと移りつつあります。私たち利用者にできる備えは地味ですが確実です。SMSではなくアプリ方式の二要素認証を選ぶこと。覚えのないリセット通知が来ても、慌ててリンクを踏まないこと。未来の安心は、そんな小さな習慣の積み重ねの上に築かれていくのだと、私は考えています。
【用語解説】
ロジックバグ
プログラムの「論理(処理の手順)」の組み立て方そのものに潜む欠陥のこと。サーバーへの侵入や認証情報の窃取とは異なり、本来あるべき判定や処理が抜け落ちているために起きる。今回はマスク処理が働かない形で表面化した。
マスク(伏せ字)処理
メールアドレスや電話番号の一部を「m***@fb.com」のように隠して表示する仕組み。本人には心当たりが分かりつつ、第三者には全体を読ませないための基本的な保護策である。
アカウント列挙(account enumeration)
ある連絡先がそのサービスに登録されているかどうかを、外部から推測・特定できてしまう状態を指す。完全な個人情報を抜き取れなくても、攻撃の足がかりになりうる点が問題視される。今回はこの観点から事態を捉える分析もある。
フィッシング
正規のサービスを装った偽のメールやサイトへ誘導し、認証情報などをだまし取る手口。露出した連絡先は、精巧な偽メールを作る材料になる。
SIMスワップ
攻撃者が通信事業者をだまして被害者の電話番号を自分の端末へ移し替え、SMS認証を乗っ取る攻撃。電話番号の露出が直接の引き金になりうる。
プロンプトインジェクション
AIへの指示文に細工をして、開発者の意図しない動作を引き出す攻撃手法。今回の関連事例では、AIサポートボットを誤誘導してアカウントを乗っ取る形で悪用された。
データ最小化
業務に必要な範囲を超えて個人情報を扱わない、という情報保護の原則。今回の露出は、この原則への抵触が指摘されている。
GDPR第25条(プライバシー・バイ・デザイン)
EUの一般データ保護規則が定める条項で、サービスの設計段階から個人情報保護を組み込むことを義務づける。今回の事案はこの義務との整合性が論点になっている。
CVE識別子
世界共通で脆弱性に振られる管理番号のこと。本稿時点で今回の不具合には付与されていない。
二要素認証(2FA)
パスワードに加えてもう一つの確認要素を求める仕組み。SMSで受け取るコードよりも、認証アプリで生成するコードのほうが安全性が高いとされる。
【参考リンク】
Meta(About Meta)(外部)
Instagramの親会社Metaの公式サイト。会社概要やプライバシー、安全性への取り組み、各サービスの方針を確認できる。
Instagram 公式サイト(外部)
事案の舞台となった写真・動画共有サービスの公式サイト。アカウント設定や復旧、二要素認証の操作はここから行える。
CVE Program(外部)
ソフトウェアの脆弱性に共通の管理番号を付与する国際的な仕組みの公式サイト。登録の有無をここで検索・確認できる。
【参考記事】
Instagram Password Reset Flow Raises Concerns Over Potential User Phone Data Exposure(Security Boulevard)(外部)
同じ事案を慎重に分析。完全な番号やパスワードの直接露出の証拠はなく、アカウント列挙の問題ではないかと整理する。
Meta admits to Instagram password reset mess, denies leaks(The Register)(外部)
1月の前段事案を報道。Malwarebytesが1,750万件の流出を主張する一方、Metaは侵害を否定したと伝える。
Instagram Password Reset Vulnerability Exposes 17 Million Accounts(Rescana)(外部)
1月の事案を技術分析。流出データを17,017,213件と示し、CVE未付与で新規脆弱性の証拠はないと評価する。
Instagram advises users to ignore password reset emails after data breach concerns(The Hill)(外部)
露出したメールと電話番号がSIMスワップやフィッシングに悪用されうると専門家が指摘。不審な通知は無視を促す。
【関連記事】
Instagram の Meta AI に脆弱性、本人確認なしでアカウント乗っ取り
本記事で触れた6月初旬のAIサポートボット悪用事案を単独で詳報。今回の連続インシデントの直前にあたる一本。
SIMスワップ詐欺10倍増の衝撃、英国政府がパスキー全面導入で認証革命へ
露出した電話番号が招くSIMスワップの脅威と、SMS認証を脱する各国の動きを解説した記事。
Yahoo! JAPAN IDがパスキーに一本化。パスワードレス時代、日本から動き出す
本記事の備えで触れた「SMSより強い認証」の延長線。パスワードレスへの国内の潮流を追う。
Instagram乗っ取り急増!詐欺の手口と復旧不可能になる前の対策
認証コードを騙し取る手口を具体的に解説。利用者目線での実践的な防御策をまとめた一本。
パスワード使いまわし、まだ84%―トレンドマイクロ「パスワード・パスキー利用実態調査2026」を読み解く
パスワード管理の実態調査から、復旧フローと認証習慣を見直す視点を提供する記事。
【編集部後記】
正直に告白すると、この記事を書きながら、私は自分のアカウントの設定画面を開いていました。SMSの認証コードに頼ったままの項目が、いくつか残っていたのです。専門家として偉そうに語る前に、まず自分の足元を見直す。今回はそんな順番になりました。
調べていて改めて感じたのは、これが一度きりの話ではないということです。直前の6月初旬には、MetaのAIサポートボットが悪用されて著名アカウントが乗っ取られる事案がありました(「Instagram の Meta AI に脆弱性、本人確認なしでアカウント乗っ取り」)。さらに視野を広げれば、SIMスワップ詐欺が急増し各国がパスキー移行に動いているという流れ(「SIMスワップ詐欺10倍増の衝撃」)、Yahoo! JAPAN IDがパスキーに一本化していく動き(「Yahoo! JAPAN IDがパスキーに一本化」)も、同じ地殻変動の一部に見えてきます。点として眺めると小さな不具合でも、線でつなぐと「認証と復旧の作法が、いま静かに作り替えられている」という大きな絵が浮かび上がります。
テクノロジーの不具合は、遠い誰かの物語ではありません。あの何気ない再設定画面の向こうに、自分の連絡先が置かれている──そう想像できたとき、ニュースは一気に「自分ごと」になります。みなさんの設定はいまどうなっているでしょうか。よければ、この記事を閉じたあとの数分を、ご自身の「復旧の入り口」を見直す時間にあててみてください。記事末尾の関連記事も、その手がかりになればうれしいです。私もまた、続報を追いかけながら、できる備えを更新していくつもりです。
